Falha em sistema possibilita compra de MacBook da Apple por US$ 1

SÃO PAULO – A empresa de segurança digital ERPScan e sua equipe de tecnologia provaram que existe uma falha no sistema em terminais de vendas online de grandes empresas como SAP e Oracle, que são gerenciadoras de dados. Desenvolvedores da companhia conseguiram comprar um MacBook da Apple por US$ 1, cerca de R$ 3,15.

A equipe da empresa percebeu que muitos terminais de vendas estavam desprotegidos, com medidas de autorização faltando – o que facilita trabalho de hackers.

Eles conseguiram acessar dados de cartão de crédito de usuários e ter o controle total da plataforma, o que possibilita a alteração de preços de produtos, incluindo descontos, por exemplo. A empresa ressalta que para acessar essa brecha é preciso ter conhecimentos de programação.

A companhia de segurança digital explicou que essa invasão não pode ser feita remotamente, então a equipe precisou utilizar um Raspeberry Pi – computador do tamanho de um cartão de crédito, que se conecta a um monitor de computador e tem teclado e um mouse padrão; foi desenvolvido no Reino Unido pela fundação de mesmo nome do aparelho. O computador portátil custou US$ 25 e foi usado para carregar o malware (código malicioso) que dá acesso a essa página de dados dos usuários e ao controle total da plataforma.

“Esse malware chamado POS dá acesso a dados dos usuários que fizeram compras nesses terminais. As vulnerabilidades encontradas vão muito longe. Roubando o número do cartão de crédito, configurando preços e descontos especiais… todas essas opções estão no menu de um hacker”, afirmou o CTO da ERPScan, Alexander Polyakov.

A empresa publicou um vídeo no YouTube como prova de conceito para mostrar que com um Rapsberry Pi, um hacker poderia instalar facilmente o malware que possibilita a mudança de preços. A demonstração foi feita na compra de um MacBook em um terminal da SAP.

 Assista:

A empresa de segurança já havia notificado a SAP em abril, e agora após a divulgação desse vídeo, a desenvolvedora foi avisada novamente e já corrigiu a vulnerabilidade, segundo informações do The Next Web.