Miután egy hacker (Bobdahacker) nemrég lerántotta a leplet a McDonald’s ingyenes ételtrükkjéről, most a kínai Pudu Robotics kiszolgálórobotjai után nyomozott, és ijesztő biztonsági hibára bukkant. A főként éttermekben használt, több mint 100 000 példányban, több mint ezer városban dolgozó, macskaszerű BellaBot és a liftekkel is összehangolt FlashBot robotokat ugyanis gyakorlatilag bárki távolról vezérelhette.
Könnyen feltörhető éttermi MI
A Pudu Robotics tavaly a világpiac 23 százalékát szerezte meg az éttermi kiszolgáló robotok piacán. A hackernek feltűnt, hogy a robotokat irányító háttérrendszerben az adminisztrátorok hanyagul állították be a belépési jogosultságokat. Elég volt egy érvényes azonosítót szerezni – például egy cross-site scripting támadással –, vagy akár csak regisztrálni próbavásárlóként, és máris teljes hozzáférése lehetett bárkinek.
Ilyen jogosultság birtokában bárki elirányíthatta a robotokhoz tartozó ételrendeléseket, leállíthatta a robotflottát, ellophatott akár szellemi tulajdont, de akár irodai rendszerleállást is okozhatott egy FlashBot. Az első hitelesítési lépés után további ellenőrzés nem történt, bárki tetszés szerint átnevezhette, átirányíthatta vagy összezavarhatta a robotokat.
Vállalati hallgatás, ügyfélriadó, végül léptek
Bár a hacker 2023. augusztus 12-én értesítette a Pudut a hibáról, a cég sem a technikai, sem az ügyfélszolgálati, sem az értékesítési csapattól nem kapott választ. Több mint 50 alkalmazottnak kellett e-mailt írnia, hogy valaki komolyan vegye a dolgot. Végül, amikor nagy étteremláncokat (például a japán Skylark Holdingot és a Zensho-t) is értesített, a Pudu is felébredt.
Két nappal az ügyfelek riasztása után jelentkeztek: egy automatikus, MI által generált e-mailben, amit annyira hanyagul szerkesztettek, hogy még a [Your Email Address] szöveg is benne maradt. Ennek ellenére végül lezárták a biztonsági rést.
A hibát bejelentő hackert végül 3,6 millió forintnak (kb. 10 000 USD) megfelelő díjjal jutalmazták. A Pudu most létrehozott egy biztonsági hibabejelentő központot is, hogy hasonló eset többé ne forduljon elő. A vállalat szerint mára minden szükséges biztonsági intézkedést bevezettek.
2025, adrienne, go.theregister.com alapján
filózó
Te mit gondolsz arról, ha egy cég ilyen sokáig nem válaszol egy komoly hibajelzésre?
Te mit tettél volna, ha te találod meg ezt a biztonsági hibát?
Etikus szerinted a hackert pénzzel jutalmazni, miután segített a hiba felfedezésében?
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. BoobieTime Breastfeeding Timer (iPhone/iPad)A BoobieTime egy 2017-ben, az alapító első gyermekének megszületését követő hetekben létrejött, hasznos alkalmazás szoptató édesanyák számára...
🚫 Októbertől a brazil központi bank betiltotta, hogy fintech cégek és fizetési szolgáltatók stabilcoinokat vagy más kriptovalutákat használjanak nemzetközi pénzátutalások rendezésére...
Lavinia és Michelle Osbourne, akik idén ünneplik 49. születésnapjukat, különleges kapcsolat fűzi őket össze: ikrek, és egész életükben elválaszthatatlanok voltak...
Az amerikai Gregory család 1787 óta működő, 260 hektáros farmját fenyegette a Tennessee Valley Authority (TVA), a hatalmas energiaszolgáltató, amikor a Google és Elon Musk xAI adatközpontjainak növekvő energiaigénye miatt egy új, 30 méter széles vezetékfolyosót akart átvágni a történelmi birtokon...
🎮 A videojátékok készítése és játszása még soha nem állt akkora befolyás alatt, mint manapság: a valamikori szabad ötletelés helyét átvette az influenszerek diktátuma, akik gyakran még maguk sem játszanak végig egy-egy játékot...
Az idei Berkshire Hathaway éves részvényesi találkozó minden eddiginél különlegesebb volt: Warren Buffett első ízben nem a színpadon, hanem a nézőtéren foglalt helyet, átadva a stafétát az új vezérigazgatónak, Greg Abelnek...
A vasárnapi Quordle-kihívás ezúttal is komoly agytornát követelt. A játék mai négy megfejtésében négy különböző magánhangzó szerepelt, és csak egyetlen szó tartalmazott ismétlődő betűt...
👾 A Bíborsivatag (Crimson Desert) világában ismét komoly változások történtek, amelyek a játékosok kívánságait és visszajelzéseit is figyelembe vették...
Ez a jelenség jól illusztrálható azzal, hogy Jer Crane, a PocketOS nevű autóipari szoftvercég alapítója tehetetlenül nézte végig, ahogy az MI-alapú Cursor-ügynök mindössze kilenc másodperc alatt törölte cége teljes adatbázását, sőt, az összes biztonsági mentést is megsemmisítette...
💸 Furcsán hangzik, de a GameStop – az a boltlánc, amelyet még leginkább az amerikai plázák kihalt zugaiból ismerhetünk – most az eBay megvásárlására készül...
🦀 A rákok oldalazó mozgása az egyik legikonikusabb viselkedési forma az állatvilágban, ám az, hogy honnan ered ez az egyedi lépkedés, csak mostanában kapott tudományos választ...
Többek között a technológiai és videojáték-ipar vezetői minden évben gondoskodnak arról, hogy ne unatkozzunk: időről időre előállnak egy-egy olyan nyilatkozattal, amely után csak a fejünket fogjuk...
Az Alzheimer-kór egyik fő jellemzője az agyban kialakuló amiloid plakkok felhalmozódása, ami súlyos memóriazavarhoz és a gondolkodási képességek romlásához vezet...
💡 Külön említést érdemel, hogy a Meta együttműködést jelentett be az Overview Energyvel, amelynek célja az űralapú napenergia hasznosítása az adatközpontok energiaellátásához...
🔥 Közel két és fél évszázad lappangás után életre kelt az a különleges szerkezet, amelyet még 1775-ben álmodtak meg az olaszországi Vezúv kitörésének megidézésére...
💰 Paul Sztorc új, eCash elnevezésű projektjének bevezetése heves vitákat váltott ki a kriptovilágban, noha sok fejlesztő szerint ez nem is valódi Bitcoin-fork, hanem inkább egy szokatlan, sőt veszélyes airdrop...
