Hackers encontraram uma vulnerabilidade em sistemas de pontos-de-venda que permitem alterar os preços que uma loja cobram por seus produtos. Na prática, isso significa que alguém com conhecimento desta brecha seja capaz de comprar um produtos caríssimos, como um MacBook, por preços irrisórios, na faixa de US$ 1.
A demonstração foi feita pelos pesquisadores da empresa de segurança ERPScan, que encontraram essa brecha em terminais desenvolvidos por gigantes como SAP e Oracle, que permite a criação de descontos para qualquer item à venda.
Ao mexer nos terminais, os pesquisadores perceberam que uma série de medidas de autorização estavam faltando. Assim, além de conseguir acessar os dados do cartão de crédito, os hackers se mostraram capazes de ganhar controle total do servidor, o que possibilita a alteração de preços, além de realizar outras ações como desligar ou ligar terminais.
Dmitry Chastuhin conta que o problema não é restrito a SAP, e sim um problema que muitos sistemas de ponto-de-venda apresentam, com arquitetura similar e, portanto, com as mesmas vulnerabilidades, frequentemente sem preocupações básicas com segurança digital. Quando um hacker acessa a rede, é possível controlar completamente o sistema.
No vídeo publicado no YouTube como prova de conceito, os pesquisadores só precisaram de um Raspberry Pi de US$ 25 para instalar um malware destinado a alterar os preços de venda.
O pessoal da ERPScan não é “black-hat”, que são os hackers que procuram brechas para explorá-las para benefício próprio ou para vende-las, então a SAP foi alertada da vulnerabilidade em abril, e já lançou uma correção em julho. Contudo, os pesquisadores foram capazes de explorar novamente a falha, o que fez com que a empresa liberasse mais uma correção, desta vez definitiva.
Assim, para as empresas que usam a solução de terminais de ponto-de-venda da SAP, a orientação é instalar os pacotes de correção apropriados (SAP Security Note 2476601 e SAP Security Note 2520064) o quanto antes.