Hacker quebra criptografia de 512 bits e assume controle de usina de energia

Listen to this article

O pesquisador de segurança cibernética Ryan Castellucci assumiu o controle de uma usina de energia virtual capaz de abastecer 40 mil residências após hackear a conta de administrador da GivEnergy, sediada no Reino Unido. Para tanto, ele explorou uma falha na chave criptográfica RSA de 512 bits da empresa.

Como explicou em seu site na quarta-feira (7), o especialista instalou painéis solares e um sistema de armazenamento de bateria da GivEnergy em sua casa. Enquanto verificava a API da plataforma que gerencia o serviço localmente, encontrou uma vulnerabilidade na criptografia do software e conseguiu quebrá-la.

Com o acesso era possível reconfigurar os sistemas de outros clientes e visualizar seus dados.Com o acesso era possível reconfigurar os sistemas de outros clientes e visualizar seus dados.Fonte:  Getty Images/Reprodução 

Essa exploração da brecha permitiu que Castellucci acessasse o provedor de gerenciamento de energia como administrador de uma rede composta por 60 mil sistemas instalados, controlando os produtos conectados à nuvem da empresa. Juntos, eles geram cerca de 200 MW, de acordo com o ArsTechnica.

A invasão do sistema, acontecida em julho, ainda permitia que o hacker ético tivesse acesso aos dados dos outros clientes, como nomes, endereços, e-mails e números de telefone, além de assumir o controle da usina de energia virtual. No entanto, ele afirma não ter manipulado tais informações.

GivEnergy corrigiu a falha

Procurada por Castellucci, que informou sobre a vulnerabilidade na chave RSA de 512 bits, a fornecedora de energia britânica confirmou a existência da brecha. De acordo com ela, a tecnologia criptográfica fazia parte de uma biblioteca de terceiros e foi adotada há anos, quando a empresa era pequena e iniciava as atividades.

Ainda conforme a GivEnergy, o problema foi solucionado com a troca da ferramenta de segurança antiga, adotando uma chave criptográfica mais forte e atualizada para a API. Após a correção, Castellucci disse que não era mais possível explorar o erro.

Em comunicado divulgado aos clientes, a empresa de energia revelou que o erro poderia ter exposto dados pessoais ou permitido a reconfiguração de suas baterias, remotamente. Porém, uma análise dos logs do sistema apontou que não houve exploração maliciosa da vulnerabilidade.

 

 

 

 

 

 

João Marcelo de Assis Peres

joao.marcelo@guiadocftv.com.br

GuiadoCFTV

Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?

Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’

Quer enviar suas notícias? Envie um e-mail para noticias@guiadocftv.com.br

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.