Uma pesquisadora de segurança cibernética descobriu uma falha crítica no sistema de controle da Pudu Robotics, uma das maiores fabricantes de robôs de serviço do mundo. A vulnerabilidade, que permitia a um hacker assumir o controle total dos robôs de entrega, foi exposta após a empresa ignorar os alertas da especialista por dias, agindo apenas depois que os clientes da Pudu foram notificados sobre o risco.

A Pudu Robotics é uma gigante chinesa no mercado de robótica comercial, com mais de 100 mil unidades em operação em cerca de 1.000 cidades ao redor do mundo. Seus robôs, como o popular BellaBot, são usados para servir refeições, enquanto o FlashBot, com braços mecânicos, é capaz de interagir com sistemas como elevadores. A empresa detém 23% do mercado, mas seu crescimento vertiginoso foi acompanhado por uma falha de segurança alarmante em seu sistema de gerenciamento.

A descoberta foi feita pela hacker "Bobdahacker", a mesma que ficou conhecida por expor uma falha que permitia a clientes do McDonald's obterem comida de graça. Ao investigar os sistemas da Pudu, ela encontrou uma brecha que permitia a exploração do software de controle dos robôs devido à falta de segurança adequada na autenticação de administradores. Segundo a pesquisadora, para explorar a falha, um invasor precisava apenas obter um token de autenticação válido, algo que poderia ser feito através de ataques de cross-site scripting (XSS) ou simplesmente criando uma conta de teste no sistema da empresa.

Com esse nível de acesso, um hacker poderia causar um caos operacional e financeiro. Seria possível, por exemplo, redirecionar pedidos de comida, paralisar toda a frota de robôs de um restaurante em um ataque de negação de serviço (DDoS) ou, no caso do FlashBot, invadir sistemas corporativos e roubar propriedade intelectual. A pesquisadora observou que, após a autenticação inicial, não havia outras verificações de segurança, permitindo ao invasor redefinir pedidos, alterar a localização dos robôs e até renomeá-los para dificultar a recuperação por parte da empresa.

Apesar da gravidade da situação, a resposta da Pudu Robotics foi frustrante. No dia 12 de agosto, Bobdahacker notificou a empresa, mas não obteve retorno das equipes de tecnologia, suporte ou vendas. Passou-se uma semana e, em 21 de agosto, ela enviou e-mails para mais de 50 funcionários na tentativa de ser ouvida. A empresa só agiu quando a hacker, em uma atitude de "pressão responsável", começou a alertar os clientes da Pudu sobre o risco. O alerta chegou a grandes redes de restaurantes japoneses, como a Skylark Holdings e a Zensho, que levaram a advertência a sério.

Apenas cerca de 48 horas após o contato com os clientes, a Pudu finalmente respondeu à hacker com um e-mail genérico, que, segundo ela, parecia ter sido gerado pelo ChatGPT. A falta de profissionalismo e agilidade da empresa em lidar com a falha de segurança contrastou com a rápida ação de correção que se seguiu à pressão de seus clientes.

A Pudu Robotics corrigiu a vulnerabilidade e reforçou seus sistemas, mostrando que, em alguns casos, a maneira mais eficaz de forçar uma empresa a agir é alertando seus clientes sobre os riscos.

Via - TR