A ideia de hackear cartões de hotéis para invadir quartos não é novidade para os criminosos. Contudo, um novo esquema chamou a atenção de pesquisadores: os bandidos estão conseguindo confeccionar chaves-mestras e infinitos cards de acesso usando os dados dos estabelecimentos e cartões, inclusive os já vencidos e velhos, apenas com o uso de dispositivos e softwares facilmente encontrados na web.
Sumiço de aparelho de um funcionário de firma de segurança deu início à investigação sobre as fechaduras eletrônicas
A descoberta aconteceu depois que um consultor da firma finlandesa F-Secure teve seu laptop roubado dentro de suas próprias acomodações, enquanto se hospedava em Berlim. Sem sinais de arrombamento, a administração rejeitou a queixa. O episódio chamou a atenção de dois colegas de trabalho, Timo Hirvonen e Tomi Tuominen, que começaram a investigar as fechaduras eletrônicas disponíveis nesse mercado.
Como as tradicionais chaves físicas custam mais caro para serem substituídas no caso de perda, o que acontece com frequência, então usar cartões descartáveis torna o sistema mais ágil e barato. A maioria usa identificação por radiofrequência, o que obriga a confirmação e registro das unidades várias vezes durante a estadia dos hóspedes.
- Leia também: Rússia prende possíveis criadores do Meduza Stealer
A varredura mais completa levou a dupla até a maior marca nesse setor: a Assa Abloy.
Mesmo os sistemas considerados mais seguros possuem brechas
Tida pela F-Secure como uma empresa de “alto calibre”, a Assa Abloy é referência no setor. Isso não impediu os pesquisadores de encontrar uma vulnerabilidade no gerenciamento dos cartões. O software, chamado de Vision, é desenvolvido por uma empresa chamada VingCard. O que mais assustou foi o fato da possibilidade de hackear o sistema com o uso de um cartão de acesso qualquer: do quarto, de uma depósito, da garagem; e de qualquer vencimento — até mesmo os que tinham expirado puderam ser explorados para a invasão.
Depois disso, eles usaram hardware e software facilmente encontrados online, “por apenas algumas centenas de euros”, dizem. A partir daí, eles puderam criar uma chave-mestra e reproduzi-la quantas vezes quiseram, tanto em modelos com tarja magnética quanto nas mais sofisticadas unidades baseadas em identificação por radiofrequência.
Confira um vídeo feito pela F-Secure, para ilustrar como funcionava o procedimento:
Trabalho conjunto corrigiu a vulnerabilidade
Depois de informada pela F-Secure no ano passado, a Assa Abloy passou a trabalhar em parceria e na surdina para resolver o problema. “Devido à prontidão e boa vontade da Assa Abloy em resolver os problemas identificados por nossa pesquisa, o mundo da hospedagem atualmente é mais seguro. Recomendamos urgentemente que todo os estabelecimentos que usam o mesmo software a atualizá-lo o quanto antes”, diz Tuominen.
A F-Secure não divulgou mais detalhes sobre a vulnerabilidade porque muitos locais ainda podem estar à mercê dos bandidos. E a grande lição aprendida aqui, segundo Tuominen, é que os computadores estão em toda parte — e todos podem apresentar problemas de segurança. A recomendação é continuar sempre prezando pelos seus pertences das melhores maneiras possíveis.
)
“As pessoas devem continuar se protegendo como atualmente já estão. Ou seja, não deixando objetos de valor no quarto de hotel e usando correntes nas portas enquanto você está na sala ou indo para a cama. Se você não faz isso, é uma boa hora para começar.”
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
