infosec
@it_secur
• Помните историю про взлом McDonald’s, который удалось взломать этичному хакеру bobdahacker? В его блоге вышла новая статья! На этот раз ему удалось обнаружить уязвимости в Pudu Robotics - а это, на минуточку, мировой поставщик коммерческих роботов, которые выполняют всевозможные задачи (от подачи еды, до систем управления лифтами). Эти роботы используются в ресторанах, больницах, гостиницах, офисах и магазинах по всему миру.
• В ходе исследования bobdahacker обнаружил, что проблема кроется в API, который требовал токены авторизации, но при этом не проверял права пользователя и «владение» устройством. Это позволило получить доступ к истории вызовов любого робота, управлять любым роботом, обновлять настройки и заставить роботов делать всё, на что только хватит фантазии:
Направить робота с едой к вашему столу, а не к столу клиентов.
Отменить все задачи в час пик.
Проигрывать музыку и кружиться вокруг себя.
Требовать оплату через вывод QR-кода на экране роботов.
Перенаправлять роботов для доставки лекарств.
Отправлять роботов-уборщиков в операционные.
Отменить очистку критических зон для роботов-дезинфекторов... и т.д.
• В итоге bobdahacker попытался связаться с представителями Pudu Robotics и сообщить им о проблеме, но в лучших традициях McDonald’s ему никто не ответил. Электронные письма в разные отделы просто улетали в пустоту. Спустя 10 дней bobdahacker снова разослал электронные письма, обратившись более чем к 50 сотрудникам компании и попытался привлечь хоть чье-то внимание, но его игнорировали.
• Тогда было принято решения написать в японскую сеть ресторанов Skylark Holdings, которые используют роботов Pudu в работе. Спустя 48 часов от Pudu Robotics пришел ответ, который был сгенерирован ChatGPT. Они даже не удосужились заменить поле «[Ваш адрес электронной почты]» в шаблоне для ответа ИИ (скриншот выше).
• Через два дня после отправки ответа, который сгенерировал ИИ, в Pudu всё исправили! Также представители Pudu извинились за оплошность с заглушкой «[Ваш адрес электронной почты]» и сообщили, что уже создали отдельный адрес
https://bobdahacker.com/blog/hacked-biggest-chinese-robot-company
#Новости
• В ходе исследования bobdahacker обнаружил, что проблема кроется в API, который требовал токены авторизации, но при этом не проверял права пользователя и «владение» устройством. Это позволило получить доступ к истории вызовов любого робота, управлять любым роботом, обновлять настройки и заставить роботов делать всё, на что только хватит фантазии:
Направить робота с едой к вашему столу, а не к столу клиентов.
Отменить все задачи в час пик.
Проигрывать музыку и кружиться вокруг себя.
Требовать оплату через вывод QR-кода на экране роботов.
Перенаправлять роботов для доставки лекарств.
Отправлять роботов-уборщиков в операционные.
Отменить очистку критических зон для роботов-дезинфекторов... и т.д.
• В итоге bobdahacker попытался связаться с представителями Pudu Robotics и сообщить им о проблеме, но в лучших традициях McDonald’s ему никто не ответил. Электронные письма в разные отделы просто улетали в пустоту. Спустя 10 дней bobdahacker снова разослал электронные письма, обратившись более чем к 50 сотрудникам компании и попытался привлечь хоть чье-то внимание, но его игнорировали.
• Тогда было принято решения написать в японскую сеть ресторанов Skylark Holdings, которые используют роботов Pudu в работе. Спустя 48 часов от Pudu Robotics пришел ответ, который был сгенерирован ChatGPT. Они даже не удосужились заменить поле «[Ваш адрес электронной почты]» в шаблоне для ответа ИИ (скриншот выше).
«Спасибо за ценный вклад в обеспечение нашей безопасности. Если вы захотите поделиться дополнительными подробностями или у вас возникнут вопросы, пожалуйста, не стесняйтесь обращаться ко мне напрямую по адресу [Ваш адрес электронной почты]».
• Через два дня после отправки ответа, который сгенерировал ИИ, в Pudu всё исправили! Также представители Pudu извинились за оплошность с заглушкой «[Ваш адрес электронной почты]» и сообщили, что уже создали отдельный адрес
security@pudutech.com для сообщений об уязвимостях и других проблемах с безопасностью. Такие вот дела... https://bobdahacker.com/blog/hacked-biggest-chinese-robot-company#Новости
70
❤ 18
12
10
👍 8
⚡ 2
😁 1
😎 1
62 10.6K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram