BTC
$0.00
0.00%
Nunca imaginei que uma noite normal pudesse se transformar em uma história de espionagem que mais tarde se tornaria conhecida em todo o mundo. Uma história muito estranha, mas, ao mesmo tempo, muito simples, que tive que contar primeiro aos funcionários da segurança da empresa e agora a vocês.
Além disso, não é difícil imaginar o que teria acontecido se meu software, ao passar pela autenticação, tivesse obtido acesso inesperado às chaves de carteiras criptográficas em todo o mundo — assim como aos robôs aspiradores. Eu poderia não apenas ver os dados, mas também controlar os fundos de estranhos em todo o mundo. Mas vou contar tudo na ordem.
Eu estava sentado no meu quarto tentando dominar o controle do meu novo aspirador DJI Romo, que combina tecnologias de drones (LiDAR, visão binocular) e função de vigilância por vídeo. Em outras palavras: eu queria brincar um pouco, em vez de limpar a casa. E quando liguei meu aspirador, os dados de outro dispositivo apareceram diante de mim. E depois mais outro. E, em poucos minutos, eu já via 6.700 robôs de todo o mundo, cada um com seu número de série, endereço IP, status da bateria e até mesmo um mapa das instalações. Ou seja, ao mesmo tempo, eu tinha acesso a milhares de casas alheias e suas câmeras.
Em um belo momento, tornei-me um observador invisível em centenas de apartamentos na Ásia, Europa, América do Norte, etc.
Embora eu não tenha hackeado esses robôs propositalmente, minha chave de autenticação foi reconhecida pelo servidor DJI como uma chave universal. Agora imagine que, em vez de robôs aspiradores, esse sistema tivesse contas e carteiras criptográficas, cada uma com centenas ou centenas de milhares de dólares em diferentes moedas digitais!
Fiquei horrorizado ao imaginar o pouco tempo necessário para transferir centenas de milhões para um destino desconhecido — afinal, os criminosos poderiam rapidamente transferir ether, bitcoins ou outros tokens para endereços de terceiros. No entanto, felizmente, esse era apenas um cenário hipotético. Na realidade, deparei-me com milhões de imagens de interiores domésticos e percursos de aspiradores, e não com chaves de contas de criptomoedas.
Desativei imediatamente a minha aplicação, devolvi os acessos à DJI e escrevi à empresa sobre a vulnerabilidade. Quase fui chamado de criminoso, embora, na verdade, eu estivesse apenas tentando usar o dispositivo para limpar o local.
No entanto, parece que a empresa aprendeu a lição — afinal, quando se trata de dados privados ou ativos digitais, um único erro pode custar muito mais do que você imagina!
Depois da história com o Romo, pensei que tinha colocado um ponto final nessa estranha história. Sim, essa é a famosa história em que tentei dominar o controle do meu novo robô DJI Romo, que combina tecnologia de drones e função de vigilância por vídeo, e acabei hackeando dispositivos robóticos em todo o mundo. Mas a verdadeira intriga começou mais tarde, quando um analista conhecido da Chainalysis me ligou e perguntou se eu tinha certeza de que meu caso era uma coincidência. Devo dizer que já nos tínhamos encontrado em conferências sobre segurança digital em São Francisco e Las Vegas, onde falámos sobre phishing, formas e métodos de invasão e carteiras criptográficas já invadidas.
Ele disse que os sistemas deles registraram uma atividade estranha: tentativas sincronizadas de acesso a vários milhares de carteiras criptográficas, que tinham uma coisa em comum — o uso de serviços terceirizados com autenticação centralizada. Além disso, não havia nenhum sinal visível de invasão direta. Apenas um elo fraco entre o usuário e o servidor. Concordei em contar tudo o que sabia sobre o assunto e a história já conhecida de como acidentalmente invadi 6.700 dispositivos.
Nos encontramos offline. Havia um laptop sobre a mesa com listas de transações, marcas de tempo e clusters de IP. Parte das rotas levava à infraestrutura anteriormente associada ao Lazarus Group, um grupo conhecido por ataques a corretoras de criptomoedas e projetos DeFi. Não havia provas diretas. Mas as coincidências eram muito interessantes.
Percebi que, se a vulnerabilidade do Romo não fosse relacionada a robôs aspiradores, mas a carteiras de criptomoedas, o cenário seria catastrófico: o sistema registraria a movimentação de fundos. Além disso, as chaves privadas seriam perdidas para sempre. É importante notar que os usuários teriam culpado as bolsas, os fabricantes e os desenvolvedores de software. Mas a verdadeira razão eram erros na arquitetura de acesso.
Não divulgamos nossas ações posteriores. Em vez disso, transmiti as conclusões técnicas à equipe de segurança e, em poucos dias, um patch foi lançado. Fui informado por carta que os especialistas já estão testando o próximo sistema de segurança para impedir o surgimento do fenômeno chamado “chave universal”.
No mundo digital, o crime raramente começa com uma invasão. Na maioria das vezes, ele começa com uma solução conveniente que funciona “muito bem para todas as fechaduras”. E, às vezes, tudo pode começar com o acionamento do controle remoto de um aspirador de pó comum. Foi exatamente isso que aconteceu comigo recentemente.
