A empresa de segurança cibernética F-Secure criou um dispositivo que pode extrair os dados dos cartões de acesso dos hotéis e criar um cartão mestre, oferecendo acesso a todos os quartos de um ou vários hotéis.
O dispositivo aproveita uma falha no design do sistema das fechaduras eletrônicas. O detalhe que preocupa é que tal vulnerabilidade está presente na fechadura eletrônica Vision by VingCard, que está disponível hoje em mais de 42 mil hotéis em 166 países.
O sistema de fechaduras eletrônicas são usadas não apenas nos quartos (via RFID ou tira magnética), mas também para limitar o acesso em algumas áreas dos hotéis.
Os cartões que algumas pessoas não devolvem no check-out podem ser a porta de acesso aos dados do sistema de fechadoras, já que mesmo que elas estejam desativadas, elas guardam informações que, nesse caso, podem ser reutilizadas para criar um cartão mestre.
Os responsáveis da F-Secure desenvolveram um sistema de clonagem personalizado, que é capaz de roubar os dados de um cartão, manipular e identificar de qual hotel o código pertence. Assim, o sistema produz um token de acesso com todos os privilégios do estabelecimento.
O trabalho da F-Secure levou mais de dez anos para chegar nesse ponto. Mas garantem que, nesse momento, ninguém está utilizando um dispositivo desse tipo para fins maliciosos.
A F-Secore menciona que, em abril de 2017, foi criado o primeiro sistema de clonagem via RFID, e notificou os responsáveis pelo desenvolvimento dos dispositivos sobre o assunto. Ao longo do ano passado, as duas empresas trabalharam para desenvolver uma solução para tais vulnerabilidades.
Porém, os hotéis são responsáveis de aplicar tal correção nos seus sistemas, além de atualizar o firmware de cada fechadura eletrônica para acabar com tal ameaça.
Via F-Secure