A ideia de hackear cartões de hotéis para invadir quartos não é novidade para os criminosos. Contudo, um novo esquema chamou a atenção de pesquisadores: os bandidos estão conseguindo confeccionar chaves-mestras e infinitos cards de acesso usando os dados dos estabelecimentos e cartões, inclusive os já vencidos e velhos, apenas com o uso de dispositivos e softwares facilmente encontrados na web.
Sumiço de aparelho de um funcionário de firma de segurança deu início à investigação sobre as fechaduras eletrônicas
A descoberta aconteceu depois que um consultor da firma finlandesa F-Secure teve seu laptop roubado dentro de suas próprias acomodações, enquanto se hospedava em Berlim. Sem sinais de arrombamento, a administração rejeitou a queixa. O episódio chamou a atenção de dois colegas de trabalho, Timo Hirvonen e Tomi Tuominen, que começaram a investigar as fechaduras eletrônicas disponíveis nesse mercado.
Como as tradicionais chaves físicas custam mais caro para serem substituídas no caso de perda, o que acontece com frequência, então usar cartões descartáveis torna o sistema mais ágil e barato. A maioria usa identificação por radiofrequência, o que obriga a confirmação e registro das unidades várias vezes durante a estadia dos hóspedes.
A varredura mais completa levou a dupla até a maior marca nesse setor: a Assa Abloy.
Mesmo os sistemas considerados mais seguros possuem brechas
Tida pela F-Secure como uma empresa de “alto calibre”, a Assa Abloy é referência no setor. Isso não impediu os pesquisadores de encontrar uma vulnerabilidade no gerenciamento dos cartões. O software, chamado de Vision, é desenvolvido por uma empresa chamada VingCard. O que mais assustou foi o fato da possibilidade de hackear o sistema com o uso de um cartão de acesso qualquer: do quarto, de uma depósito, da garagem; e de qualquer vencimento — até mesmo os que tinham expirado puderam ser explorados para a invasão.
Depois disso, eles usaram hardware e software facilmente encontrados online, “por apenas algumas centenas de euros”, dizem. A partir daí, eles puderam criar uma chave-mestra e reproduzi-la quantas vezes quiseram, tanto em modelos com tarja magnética quanto nas mais sofisticadas unidades baseadas em identificação por radiofrequência.
Confira um vídeo feito pela F-Secure, para ilustrar como funcionava o procedimento:
Trabalho conjunto corrigiu a vulnerabilidade
Depois de informada pela F-Secure no ano passado, a Assa Abloy passou a trabalhar em parceria e na surdina para resolver o problema. “Devido à prontidão e boa vontade da Assa Abloy em resolver os problemas identificados por nossa pesquisa, o mundo da hospedagem atualmente é mais seguro. Recomendamos urgentemente que todo os estabelecimentos que usam o mesmo software a atualizá-lo o quanto antes”, diz Tuominen.
A F-Secure não divulgou mais detalhes sobre a vulnerabilidade porque muitos locais ainda podem estar à mercê dos bandidos. E a grande lição aprendida aqui, segundo Tuominen, é que os computadores estão em toda parte — e todos podem apresentar problemas de segurança. A recomendação é continuar sempre prezando pelos seus pertences das melhores maneiras possíveis.
“As pessoas devem continuar se protegendo como atualmente já estão. Ou seja, não deixando objetos de valor no quarto de hotel e usando correntes nas portas enquanto você está na sala ou indo para a cama. Se você não faz isso, é uma boa hora para começar.”
Fontes
Categorias