Como hackers exploraram vulnerabilidade em app para roubar carros

Nos EUA, ladrões roubaram dezenas de Mercedes após explorarem suposta brecha de segurança e autenticação do app de compartilhamento de carros Car2Go

Funcionários da sede da Car2Go, em Austin, nos Estados Unidos, notaram um aumento no aluguel de um carro específico em abril deste ano. Dezenas de Mercedes CLA e GLA, modelos esportivos da marca que podem ser alugados pelo aplicativo da Car2Go estavam reunidos em West Chicago, bairro fora da área de cobertura da empresa. O movimento, entretanto, era resultado de uma fraude.

De acordo com a Bloomberg, quando funcionários da empresa foram ao local recuperar os veículos, um grupo de ladrões disseram que os veículos eram deles. Os funcionários foram ameaçados e os carros bloqueados para a reintegração de posse.

A empresa diz que 20 pessoas criaram cerca de 80 contas falsas em Chicago, usando cartões de crédito falsos ou roubados como forma de pagamento para alugar os carros. A Car2Go tem a capacidade de bloquear os veículos remotamente, porém a situação confusa, e sem precedentes, tornou difícil essa ação.

Logo após os funcionários notarem o movimento estranho das Mercedes no bairro não autorizado, começaram a ver nas redes sociais, posts com fotos e vídeos de usuários se gabando dos carros “novos”, além de anúncios de com oferta de aluguel dos veículos.

A Car2Go pediu ajuda à polícia de Chicago, e suspendeu seu serviço pelo resto da semana, na ocasião. Kendell Kelton, porta-voz da Car2Go disse à Bloomberg que cerca de 75 carros no total foram roubados. Todos foram recuperados, no entanto alguns tiveram as portas, assentos e outras partes destruídas. “Nunca vimos esse tipo de atividade fraudulenta nessa escala”, disse.

Um erro de automação?

Em abril deste ano a Car2Go resolveu flexibilizar a autorização de novos membros na plataforma e passou a automatizar os processos que antes eram avaliados por seres humanos e demoravam em torno de um ou dois dias para ficar pronto.

“Você vê o Uber, o Lyft, o Airbnb ou todas as scooters – todas elas têm verificação instantânea”, disse Kelton a Bloomberg.

No entanto, não dá para concluir se o ataque foi uma resposta a essa flexibilização ou apenas uma falha na segurança da plataforma.

De acordo com os relatórios da polícia, todos os veículos foram recuperados e muitas pessoas foram detidas, mas todas alegavam ter alugado os carros de pessoas da vizinhança. Um jovem de 19 anos foi encontrado carregando vários cartões de crédito falsos.

Em 2017 a empresa ReachNow automatizou a entrada de novos clientes aos seus serviços de aluguel de carros por aplicativo, mas cancelou o serviço após vários veículos começarem a desaparecer e clientes começarem a reclamar que não havia carros disponíveis.

Para a Car2Go esse tem sido um problema desde que a empresa começou a operar em Chicago. Hackers criam aplicações maliciosas para roubar contas e suas credenciais de acesso, usam as contas roubadas para desbloquear os carros e desabilitam seu GPS, fazendo com que o veículo “desapareça”.

A empresa, entretanto, garante atualizar seus sistemas de segurança constantemente.

Fonte: itmidia.com