Vulnerabilidade em API da Pudu Robotics permitia acesso e Controle de robôs de serviço

Uma pesquisadora de segurança cibernética descobriu uma falha crítica no sistema de controle da Pudu Robotics, uma das maiores fabricantes de robôs de serviço do mundo. A vulnerabilidade, que permitia a um hacker assumir o controle total dos robôs de entrega, foi exposta após a empresa ignorar os alertas da especialista por dias, agindo apenas depois que os clientes da Pudu foram notificados sobre o risco.

A Pudu Robotics é uma gigante chinesa no mercado de robótica comercial, com mais de 100 mil unidades em operação em cerca de 1.000 cidades ao redor do mundo. Seus robôs, como o popular BellaBot, são usados para servir refeições, enquanto o FlashBot, com braços mecânicos, é capaz de interagir com sistemas como elevadores. A empresa detém 23% do mercado, mas seu crescimento vertiginoso foi acompanhado por uma falha de segurança alarmante em seu sistema de gerenciamento.

A descoberta foi feita pela hacker "Bobdahacker", a mesma que ficou conhecida por expor uma falha que permitia a clientes do McDonald's obterem comida de graça. Ao investigar os sistemas da Pudu, ela encontrou uma brecha que permitia a exploração do software de controle dos robôs devido à falta de segurança adequada na autenticação de administradores. Segundo a pesquisadora, para explorar a falha, um invasor precisava apenas obter um token de autenticação válido, algo que poderia ser feito através de ataques de cross-site scripting (XSS) ou simplesmente criando uma conta de teste no sistema da empresa.

Com esse nível de acesso, um hacker poderia causar um caos operacional e financeiro. Seria possível, por exemplo, redirecionar pedidos de comida, paralisar toda a frota de robôs de um restaurante em um ataque de negação de serviço (DDoS) ou, no caso do FlashBot, invadir sistemas corporativos e roubar propriedade intelectual. A pesquisadora observou que, após a autenticação inicial, não havia outras verificações de segurança, permitindo ao invasor redefinir pedidos, alterar a localização dos robôs e até renomeá-los para dificultar a recuperação por parte da empresa.

Apesar da gravidade da situação, a resposta da Pudu Robotics foi frustrante. No dia 12 de agosto, Bobdahacker notificou a empresa, mas não obteve retorno das equipes de tecnologia, suporte ou vendas. Passou-se uma semana e, em 21 de agosto, ela enviou e-mails para mais de 50 funcionários na tentativa de ser ouvida. A empresa só agiu quando a hacker, em uma atitude de "pressão responsável", começou a alertar os clientes da Pudu sobre o risco. O alerta chegou a grandes redes de restaurantes japoneses, como a Skylark Holdings e a Zensho, que levaram a advertência a sério.

Apenas cerca de 48 horas após o contato com os clientes, a Pudu finalmente respondeu à hacker com um e-mail genérico, que, segundo ela, parecia ter sido gerado pelo ChatGPT. A falta de profissionalismo e agilidade da empresa em lidar com a falha de segurança contrastou com a rápida ação de correção que se seguiu à pressão de seus clientes.

A Pudu Robotics corrigiu a vulnerabilidade e reforçou seus sistemas, mostrando que, em alguns casos, a maneira mais eficaz de forçar uma empresa a agir é alertando seus clientes sobre os riscos.

Via - TR