Könnyen feltörhető éttermi MI
A Pudu Robotics tavaly a világpiac 23 százalékát szerezte meg az éttermi kiszolgáló robotok piacán. A hackernek feltűnt, hogy a robotokat irányító háttérrendszerben az adminisztrátorok hanyagul állították be a belépési jogosultságokat. Elég volt egy érvényes azonosítót szerezni – például egy cross-site scripting támadással –, vagy akár csak regisztrálni próbavásárlóként, és máris teljes hozzáférése lehetett bárkinek.
Ilyen jogosultság birtokában bárki elirányíthatta a robotokhoz tartozó ételrendeléseket, leállíthatta a robotflottát, ellophatott akár szellemi tulajdont, de akár irodai rendszerleállást is okozhatott egy FlashBot. Az első hitelesítési lépés után további ellenőrzés nem történt, bárki tetszés szerint átnevezhette, átirányíthatta vagy összezavarhatta a robotokat.
Vállalati hallgatás, ügyfélriadó, végül léptek
Bár a hacker 2023. augusztus 12-én értesítette a Pudut a hibáról, a cég sem a technikai, sem az ügyfélszolgálati, sem az értékesítési csapattól nem kapott választ. Több mint 50 alkalmazottnak kellett e-mailt írnia, hogy valaki komolyan vegye a dolgot. Végül, amikor nagy étteremláncokat (például a japán Skylark Holdingot és a Zensho-t) is értesített, a Pudu is felébredt.
Két nappal az ügyfelek riasztása után jelentkeztek: egy automatikus, MI által generált e-mailben, amit annyira hanyagul szerkesztettek, hogy még a [Your Email Address] szöveg is benne maradt. Ennek ellenére végül lezárták a biztonsági rést.
Díj és új intézkedések
A hibát bejelentő hackert végül 3,6 millió forintnak (kb. 10 000 USD) megfelelő díjjal jutalmazták. A Pudu most létrehozott egy biztonsági hibabejelentő központot is, hogy hasonló eset többé ne forduljon elő. A vállalat szerint mára minden szükséges biztonsági intézkedést bevezettek.
