A kínai éttermi robotokat bárki irányíthatta

Miután egy hacker (Bobdahacker) nemrég lerántotta a leplet a McDonald’s ingyenes ételtrükkjéről, most a kínai Pudu Robotics kiszolgálórobotjai után nyomozott, és ijesztő biztonsági hibára bukkant. A főként éttermekben használt, több mint 100 000 példányban, több mint ezer városban dolgozó, macskaszerű BellaBot és a liftekkel is összehangolt FlashBot robotokat ugyanis gyakorlatilag bárki távolról vezérelhette.

Könnyen feltörhető éttermi MI

A Pudu Robotics tavaly a világpiac 23 százalékát szerezte meg az éttermi kiszolgáló robotok piacán. A hackernek feltűnt, hogy a robotokat irányító háttérrendszerben az adminisztrátorok hanyagul állították be a belépési jogosultságokat. Elég volt egy érvényes azonosítót szerezni – például egy cross-site scripting támadással –, vagy akár csak regisztrálni próbavásárlóként, és máris teljes hozzáférése lehetett bárkinek.

Ilyen jogosultság birtokában bárki elirányíthatta a robotokhoz tartozó ételrendeléseket, leállíthatta a robotflottát, ellophatott akár szellemi tulajdont, de akár irodai rendszerleállást is okozhatott egy FlashBot. Az első hitelesítési lépés után további ellenőrzés nem történt, bárki tetszés szerint átnevezhette, átirányíthatta vagy összezavarhatta a robotokat.

Vállalati hallgatás, ügyfélriadó, végül léptek

Bár a hacker 2023. augusztus 12-én értesítette a Pudut a hibáról, a cég sem a technikai, sem az ügyfélszolgálati, sem az értékesítési csapattól nem kapott választ. Több mint 50 alkalmazottnak kellett e-mailt írnia, hogy valaki komolyan vegye a dolgot. Végül, amikor nagy étteremláncokat (például a japán Skylark Holdingot és a Zensho-t) is értesített, a Pudu is felébredt.

Két nappal az ügyfelek riasztása után jelentkeztek: egy automatikus, MI által generált e-mailben, amit annyira hanyagul szerkesztettek, hogy még a [Your Email Address] szöveg is benne maradt. Ennek ellenére végül lezárták a biztonsági rést.

Díj és új intézkedések

A hibát bejelentő hackert végül 3,6 millió forintnak (kb. 10 000 USD) megfelelő díjjal jutalmazták. A Pudu most létrehozott egy biztonsági hibabejelentő központot is, hogy hasonló eset többé ne forduljon elő. A vállalat szerint mára minden szükséges biztonsági intézkedést bevezettek.

2025, adrienne, go.theregister.com alapján