Investigadores de seguridad han descubierto un fallo en el software de las gasolineras automatizadas que permite cambiar el precio de la gasolina, llenar el tanque sin pagar o incluso robar datos de las tarjetas con las que otros clientes han pagado combustible. Eso, sin dejar rastro.
El fallo de seguridad fue descubierto por Ido Naor, un investigador para Kaspersky Lab, cuando repostaba gasolina en Israel el pasado mes de junio y la pantalla del ordenador del surtidor se colgó y reveló una dirección IP, según reporta Motherboard. Naor trabajó junto a otro investigador llamado Amihai Neiderman y descubrieron que el sistema podía ser accedido por hackers con facilidad, lo que les permite cambiar el precio del combustible y robar datos de clientes, incluyendo sus números de tarjeta de crédito. Yp or supuesto, si lo desean también pueden repostar gratis.
Este sistema automatizado para gasolineras fue creado por una compañía llamada Orpak y, según los investigadores, está instalado en más de 35.000 gasolineras en 60 países. La idea del sistema es ofrecer un acceso rápido y sencillo a los propietarios de la gasolinera para que puedan gestionar sus servicios de forma remota, incluyendo cambiar el precio de la gasolina y revisar cuánto está facturando cada surtidor. Pero así como ofrecen un fácil acceso a los propietarios, también se lo ofrecen a los cibercriminales.
Cada usuario cuenta con una contraseña para poder acceder a la plataforma, pero los investigadores encontraron la contraseña por defecto en el manual del software que está disponible en la web la Orpak. Al encontrar un usuario en España que no haya cambiado su contraseña, pudieron acceder a su plataforma libremente.
Pero ese no es el único problema. Tras analizar el código del sistema encontraron una puerta trasera, lo que significa que los hackers podrían saltarse la protección por contraseña, así la haya cambiado. Al probar el acceso mediante la puerta trasera, pudieron cambiar el precio del litro de gasolina en una estación en Israel sin dejar ningún rastro. Evidentemente, antes de revelar este hallazgo al público contactaron a Orpak y notificaron a la empresa de la vulnerabilidad, la cual asegura que ya está siendo corregida. [vía Motherboard]