O pesquisador de segurança cibernética Ryan Castellucci assumiu o controle de uma usina de energia virtual capaz de abastecer 40 mil residências após hackear a conta de administrador da GivEnergy, sediada no Reino Unido. Para tanto, ele explorou uma falha na chave criptográfica RSA de 512 bits da empresa.
Essa exploração da brecha permitiu que Castellucci acessasse o provedor de gerenciamento de energia como administrador de uma rede composta por 60 mil sistemas instalados, controlando os produtos conectados à nuvem da empresa. Juntos, eles geram cerca de 200 MW, de acordo com o ArsTechnica.
A invasão do sistema, acontecida em julho, ainda permitia que o hacker ético tivesse acesso aos dados dos outros clientes, como nomes, endereços, e-mails e números de telefone, além de assumir o controle da usina de energia virtual. No entanto, ele afirma não ter manipulado tais informações.
GivEnergy corrigiu a falha
Procurada por Castellucci, que informou sobre a vulnerabilidade na chave RSA de 512 bits, a fornecedora de energia britânica confirmou a existência da brecha. De acordo com ela, a tecnologia criptográfica fazia parte de uma biblioteca de terceiros e foi adotada há anos, quando a empresa era pequena e iniciava as atividades.
Ainda conforme a GivEnergy, o problema foi solucionado com a troca da ferramenta de segurança antiga, adotando uma chave criptográfica mais forte e atualizada para a API. Após a correção, Castellucci disse que não era mais possível explorar o erro.
Em comunicado divulgado aos clientes, a empresa de energia revelou que o erro poderia ter exposto dados pessoais ou permitido a reconfiguração de suas baterias, remotamente. Porém, uma análise dos logs do sistema apontou que não houve exploração maliciosa da vulnerabilidade.
João Marcelo de Assis Peres
joao.marcelo@guiadocftv.com.br
GuiadoCFTV
Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?
Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’
Quer enviar suas notícias? Envie um e-mail para noticias@guiadocftv.com.br