O pesquisador de cibersegurança Ryan Castellucci conseguiu obter controle sobre uma usina de energia virtual com capacidade para fornecer eletricidade a 40 mil residências.
Isso foi alcançado após ele hackear a conta de administrador da GivEnergy, uma empresa baseada no Reino Unido, através da exploração de uma vulnerabilidade na chave criptográfica RSA de 512 bits.
Castellucci detalhou o processo em seu site na quarta-feira (7), descrevendo como instalou painéis solares e um sistema de armazenamento de bateria da GivEnergy em sua residência.
Ao analisar a API da plataforma que opera o serviço local, ele identificou uma falha na criptografia do software e conseguiu descriptografá-la.
Essa falha de segurança permitiu que Castellucci ganhasse acesso administrativo ao provedor de gestão energetica, abrangendo uma rede de 60 mil sistemas instalados, que, juntos, geram aproximadamente 200 MW, segundo informações do Ars Technica.
A intrusão, que ocorreu em julho, também possibilitou o acesso a dados de outros clientes, incluindo nomes, endereços, e-mails e números de telefone, além do controle da usina de energia virtual.
No entanto, ele assegura que não manipulou essas informações.
Após ser notificada por Castellucci sobre a vulnerabilidade na chave RSA de 512 bits, a GivEnergy confirmou sua existência.
A empresa explicou que a tecnologia de criptografia era parte de uma biblioteca de terceiros, adotada nos primeiros anos da companhia, quando ainda era pequena.
A GivEnergy solucionou o problema substituindo a ferramenta de segurança desatualizada por uma chave criptográfica mais robusta e atual para a API.
Com essa correção, Castellucci informou que a vulnerabilidade não podia mais ser explorada.
Em uma comunicação aos clientes, a GivEnergy informou que a falha poderia ter exposto dados pessoais ou permitido a reconfiguração remota de suas baterias.
No entanto, uma verificação dos logs do sistema indicou que não houve exploração maliciosa da vulnerabilidade.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...