Não deve ser surpresa para ninguém descobrir que a segurança de boa parte dos sistemas de ponto de venda não é nem um pouco segura. Mas você acreditaria se alguém dissesse que esses softwares são desprotegidos ao ponto de permitir a compra de qualquer aparelho – digamos, por exemplo, um caríssimo MacBook – por um valor tão baixo quanto apenas 1 dólar? Pois é isso que um grupo de hackers da empresa de segurança ERPScan veio provar.
No vídeo de prova de conceito, que você pode conferir logo abaixo, os desenvolvedores mostram que o processo é relativamente simples (embora pedindo um bocado de habilidade em programação, é claro). Segundo eles, a brecha está presente em terminais desenvolvidos por companhias gigantescas, como SAP e Oracle; a partir dela, é possível tomar controle total da plataforma, alterando preços e adicionando descontos, por exemplo.
A parte complicada é que não há como fazer a invasão remotamente, já que essas plataformas ficam em redes fechadas. Assim, a equipe precisou utilizar um Raspberry Pi de US$ 25 para carregar o código malicioso, conectando-o à rede interna dos estabelecimentos através de um cabo comum. Parece difícil? Pois infelizmente não é o caso, já que muitas dessas máquinas costumam ser deixadas “indefesas”.
Como resultado, os desenvolvedores mostraram ser capazes de comprar o MacBook pelo absurdo preço mencionado antes, simplesmente adicionando um desconto no valor do dispositivo. Obviamente, isso chamaria a atenção da loja, mas, como eles mesmos explicam, seria muito fácil que um hacker utilizasse isso para diminuir o preço do aparelho em 20% e passar despercebido.
Não achou isso suficiente? Então que tal saber que o software também registra os dados de cartão de crédito de cada pessoa que utilizá-lo a partir do momento em que a rede foi invadida? Sim, você provavelmente não é o único a ficar com medo de que algo assim já tenha ocorrido.
Falha corrigida
A boa notícia, por fim, é que ao menos você não deve mais se preocupar tanto com tal falha. A equipe do ERPScan alertou a SAP sobre a brecha em abril, e a companhia, por sua vez, lançou correções para ela em julho. Caso você tenha um sistema de ponto de vendas em seu estabelecimento, por sua vez, é bom se apressar e instalar os pacotes de correção SAP Security Note 2476601 e 2520064.
Fontes
Categorias