O pesquisador de segurança cibernética Ryan Castellucci conseguiu acessar e controlar uma usina de energia virtual, com capacidade para abastecer 40 mil casas, ao invadir a conta de administrador da GivEnergy, uma empresa localizada no Reino Unido. Ele alcançou esse feito ao explorar uma vulnerabilidade na chave criptográfica RSA de 512 bits utilizada pela companhia.
A exploração dessa vulnerabilidade permitiu que Castellucci obtivesse acesso ao sistema de gerenciamento de energia como administrador de uma rede com 60 mil instalações, controlando os produtos conectados à nuvem da GivEnergy. Esses sistemas, em conjunto, geram cerca de 200 MW, segundo o site ArsTechnica.
A invasão, que ocorreu em julho, também possibilitou ao hacker ético acessar informações de outros clientes, como nomes, endereços, e-mails e números de telefone, além de ter a capacidade de assumir o controle da usina de energia virtual. Contudo, ele garantiu que não alterou nenhum desses dados.
GivEnergy corrige a falha
Após ser notificada por Castellucci sobre a vulnerabilidade na chave RSA de 512 bits, a fornecedora de energia britânica confirmou a existência do problema. A empresa explicou que a tecnologia criptográfica fazia parte de uma biblioteca de terceiros e foi implementada há anos, quando ainda era uma startup.
Segundo a GivEnergy, o problema foi resolvido com a substituição da antiga ferramenta de segurança por uma chave criptográfica mais robusta e atualizada para a API. Após essa correção, Castellucci confirmou que a falha não podia mais ser explorada.
Em um comunicado aos clientes, a empresa informou que a vulnerabilidade poderia ter exposto dados pessoais ou permitido a reconfiguração remota das baterias. No entanto, uma análise dos registros do sistema indicou que não houve uso malicioso da brecha.
fonte: