Não ria: app de aluguel de carros hackeada; pelo menos 100 Mercedes desaparecidas
Carlos Cardoso 5 anos atrás
A internet tem uma longa tradição de falhas de segurança constrangedoras. Sem pensar muito eu lembro de um app de envio de imagens que usava URLs públicas e nomes sequencias (343478.jpg, 343479.jpg), e uma empresa que permanecerá anônima, onde a senha do formulário "esqueci minha senha" era enviada via um email que ficava em um campo hidden no HTML da página.
Essas falhas de segurança se tornam mais divertidas quando interagem com o mundo real e hoje foi um dia desses. A vítima, um app chamada Car2Go, uma versão para hipster ricos daqueles malditos patinetes que, junto com as peças de plástico na ponta dos cadarços (chamadas agulhetas), têm um propósito sinistro.
O conceito é simples: você se cadastra no aplicativo e se precisar de um carro, pesquisa na sua região próxima se há algum estacionado. Reserva, vai até ele, abre a porta via Bluetooth ou NFC, e usa o carro pelo tempo combinado, após o qual você o deixa em um lugar pré-determinado e segue sua vida.
Você sabe, como pegar um táxi, só mais caro, complicado e inconveniente.
A Car2Go funciona em 10 cidades na América do Norte e disponibiliza três modelos, o Smart ForTwo, para hipsters, e Mercedes GLA e CLA, pra gente normal.
O produto é, reconheço, bem-pensado, mas como sempre pisaram na bola na implementação, afinal coisas como segurança, criptografia, testes de intrusão e o Departamento de Vai Dar Caca não são cool, e quem tem tempo pra isso? O produto tem que ir pra rua!
O resultado: alguém descobriu como hackear o app e a informação foi espalhada rapidamente para um monte de gente em Chicago. Logo mais de 100 carros foram acessados e, segundo fontes acompanhando o rádio da polícia, vários foram usados em crimes.
A Car2Go suspendeu o serviço na cidade, enquanto isso estão desabilitando os carros remotamente e repassando as coordenadas de localização para a polícia. Até agora 12 pessoas foram detidas.
Eles insistem que não foram hackeados nem nenhum dado dos usuários foi acessado, mas hoje em dia o termo "hacking" é usado de forma mais abrangente, e um simples macete descoberto, uma combinação de comandos ou um menu escondido ou mal programado é chamado de hack.
Agora é correr atrás do prejuízo, o único consolo é saber que um monte de gente comete os mesmos vacilos, vide o McDonald´s, cujo estagiário programou porcamente a sub-rotina de descontos e permitiu que alguns espertos conseguissem hamburgueres - hamburguers - sanduíches de graça num terminal de autoatendimento:
