O pesquisador de segurança cibernética Ryan Castellucci assumiu o controle de uma usina de energia virtual capaz de abastecer 40 mil residências após hackear a conta de administrador da GivEnergy, sediada no Reino Unido. Para tanto, ele explorou uma falha na chave criptográfica RSA de 512 bits da empresa.
Como explicou em seu site na quarta-feira (7), o especialista instalou painéis solares e um sistema de armazenamento de bateria da GivEnergy em sua casa. Enquanto verificava a API da plataforma que gerencia o serviço localmente, encontrou uma vulnerabilidade na criptografia do software e conseguiu quebrá-la.
Com o acesso era possível reconfigurar os sistemas de outros clientes e visualizar seus dados.Fonte: Getty Images/Reprodução
Essa exploração da brecha permitiu que Castellucci acessasse o provedor de gerenciamento de energia como administrador de uma rede composta por 60 mil sistemas instalados, controlando os produtos conectados à nuvem da empresa. Juntos, eles geram cerca de 200 MW, de acordo com o ArsTechnica.
A invasão do sistema, acontecida em julho, ainda permitia que o hacker ético tivesse acesso aos dados dos outros clientes, como nomes, endereços, e-mails e números de telefone, além de assumir o controle da usina de energia virtual. No entanto, ele afirma não ter manipulado tais informações.
GivEnergy corrigiu a falha
Procurada por Castellucci, que informou sobre a vulnerabilidade na chave RSA de 512 bits, a fornecedora de energia britânica confirmou a existência da brecha. De acordo com ela, a tecnologia criptográfica fazia parte de uma biblioteca de terceiros e foi adotada há anos, quando a empresa era pequena e iniciava as atividades.
Ainda conforme a GivEnergy, o problema foi solucionado com a troca da ferramenta de segurança antiga, adotando uma chave criptográfica mais forte e atualizada para a API. Após a correção, Castellucci disse que não era mais possível explorar o erro.
Em comunicado divulgado aos clientes, a empresa de energia revelou que o erro poderia ter exposto dados pessoais ou permitido a reconfiguração de suas baterias, remotamente. Porém, uma análise dos logs do sistema apontou que não houve exploração maliciosa da vulnerabilidade.
Fontes
Categorias