Investigadores de seguridad han descubierto un fallo en el software de las gasolineras automatizadas que permite cambiar el precio de la gasolina, llenar el tanque sin pagar o incluso robar datos de las tarjetas con las que otros clientes han pagado combustible. Eso, sin dejar rastro.
El fallo de seguridad fue descubierto por Ido Naor, un investigador para Kaspersky Lab, cuando repostaba gasolina en Israel el pasado mes de junio y la pantalla del ordenador del surtidor se colgĂł y revelĂł una direcciĂłn IP, segĂşn reporta Motherboard. Naor trabajĂł junto a otro investigador llamado Amihai Neiderman y descubrieron que el sistema podĂa ser accedido por hackers con facilidad, lo que les permite cambiar el precio del combustible y robar datos de clientes, incluyendo sus nĂşmeros de tarjeta de crĂ©dito. Yp or supuesto, si lo desean tambiĂ©n pueden repostar gratis.
Este sistema automatizado para gasolineras fue creado por una compañĂa llamada Orpak y, segĂşn los investigadores, está instalado en más de 35.000 gasolineras en 60 paĂses. La idea del sistema es ofrecer un acceso rápido y sencillo a los propietarios de la gasolinera para que puedan gestionar sus servicios de forma remota, incluyendo cambiar el precio de la gasolina y revisar cuánto está facturando cada surtidor. Pero asĂ como ofrecen un fácil acceso a los propietarios, tambiĂ©n se lo ofrecen a los cibercriminales.
Cada usuario cuenta con una contraseña para poder acceder a la plataforma, pero los investigadores encontraron la contraseña por defecto en el manual del software que está disponible en la web la Orpak. Al encontrar un usuario en España que no haya cambiado su contraseña, pudieron acceder a su plataforma libremente.
Pero ese no es el Ăşnico problema. Tras analizar el cĂłdigo del sistema encontraron una puerta trasera, lo que significa que los hackers podrĂan saltarse la protecciĂłn por contraseña, asĂ la haya cambiado. Al probar el acceso mediante la puerta trasera, pudieron cambiar el precio del litro de gasolina en una estaciĂłn en Israel sin dejar ningĂşn rastro. Evidentemente, antes de revelar este hallazgo al pĂşblico contactaron a Orpak y notificaron a la empresa de la vulnerabilidad, la cual asegura que ya está siendo corregida. [vĂa Motherboard]
