A hazai elektromos autósok körében is számos érintettje van annak a hétvégi hackertámadásnak, mely során sokaknak több száz dolláros illetéktelen terhelés érkezett a kártyájára.
A Carge nevű, elektromosautó-töltőket integráló app felhasználói szembesültek a jogalap nélküli tranzakciókkal, melyhez bicskanyitogató szöveget is írtak az elkövetők: többek között, hogy „megloptunk, koszos majom!”.
A hazai elektromos autósok közösségét összekovácsoló Villanyautósok.hu számolt be részletesen arról, hogy a hétvégén, szombat hajnalban gyanús kártyás tranzakciókat indítottak a Carge nevű alkalmazás felhasználóinál.
Az éjjel 2 órakor indított tranzakciók – melyekről a közösség több tagja beszámolt – 100, 200, 1000 illetve 2000 dolláros terhelések formájában érkeztek a felhasználóknak. A Carge egy görög alapítású startup, mely Magyarországon is aktív, az app célja pedig, hogy a különböző szolgáltatók elektromosautó-töltőit egyetlen app mögé integrálja, azaz egy appal sok európai szolgáltató töltőállomása is működtethető. Ez egy régóta fennálló probléma a villanyautósok körében, amire a startup kínálna egy egységes megoldást.
Az app üzemeltetőjét meghackelték, így érkezhetett a felhasználók számára több jogalap nélküli terhelés, azaz nem töltötték az autójukat, az app látszólag ennek ellenére terhelt összeget a felhasználó kártyájára. A tranzakciókhoz a következő szöveget csatolták: aki angolul tud, érti, hogy a címben kiemelt „koszos majom” az enyhébb kifejezések egyike a szövegben.
.
A csalók nem túl visszafogott öröméről szóló kísérőszöveget nem vették jónéven a felhasználók, és sorra elkezdték jelenteni a tranzakciókat a bankoknak, az app üzemeltetőjének. Szerencsére a kártyás tranzakciók bár a felhasználó számára úgy tűnnek, mintha azonnal visszavonhatatlanul megtörténnének, a kártya mögötti számlákon ilyenkor még csak zárolódnak az összegek, így a tranzakcióban részt vevő fizetési szolgáltatóknak még volt idejük lépni.
Lépett a Carge
A villanyautós blog egyenesen a Carge ügyvezetőjétől kapott tájékoztatást arról szombat hajnalban, hogy a technikai csapat már vizsgálja a tranzakciókat, és a felhasználók ígéretet kaptak arra, hogy a lehető leghamarabb visszatérítik az ügyfelek számára jogtalanul beterhelt összegeket. A hajnali tranzakciók észlelése után pár órával, szombat reggel már visszatérítési értesítőket küldtek a kárt szenvedett felhasználóknak, melyben 10 napon belüli visszatérítést ígértek, és ezen kívül az összes regisztrált felhasználót értesítették a támadásról:
Az elmúlt 6 órában egy nagyszabású támadást észleltünk, egyes felhasználóink szokatlan terhelésekről kaphattak értesítést helytelen közleménnyel. Egy következő levélben elmagyarázzuk, miért történhetett mindez és hogyan kezeltük a helyzetet.
– írták a felhasználóknak szóló levélben.
Megjegyzik azt is, hogy a kártyaadatokat nem lopták el, és minden fizetési útvonalat azonnal lezártak biztonsági okokból. A nem sokkal később közölt második levélben azt írták, hogy a Stripe-pal (amely a Carge fizetési szolgáltatója) minden érintett terhelést visszavontak, így a tranzakció eltűnik a kimutatásokból. Tehát nem visszatérítették az összeget, hanem le sem vonták a kártya mögötti számláról.
A társaság azt állítja a levélben, hogy a kártyaadatok a Stripe-nál biztonságban vannak, a „mai hackertámadással nem szivárogtak ki adatok”, minden kártyaadatot AES-256 bites titkosítással tárolnak, és nem tudnak hozzáférni szöveges adatként a kártyaadatokhoz, a titkosítási kulcsokat külön szervereken tárolják. Ha valaki letiltotta a kártyáját, akkor is visszakapja a pénzét, ami 2-5 napig tarthat a számlavezető banktól függően, sőt, a letiltott kártyák esetleges újragyártási költségét is átvállalják. Közölték, hogy a kártyaadatok azért nem látszódnak az appban, mert ahogy korábban említették, minden rendszert/funkciót leállítottak, ami a fizetési folyamathoz kapcsolódik.
Mi történt?
A társaság egy harmadik levélben mutatta be, hogy mi történt, mit tudnak eddig, a vizsgálat ugyanakkor folytatódik. A leírásuk szerint a hackerek a termékfejlesztő tesztkörnyezetet törték fel, de az éles rendszerekhez nem fértek hozzá, a kártyaadatok és a személyes adatok állításuk szerint nem kerültek a hackerek kezébe. A hackerek a tesztkörnyezetből el tudták indítani a hamis tranzakciókat, azonban azok a Stripe-nál fennakadtak, ezért a terheléseket könnyű volt visszavonni.
Az ügybe bevont biztonsági szakértők és a társaság véleménye szerint az akció célja nem a pénzlopás volt, hanem a társaság hírnevének rontása. Bizonyára az érintett felhasználók illetve azok, akik értesültek az incidensről – érthető módon – elveszthették bizalmukat a startupban, amely nem biztos, hogy fel tud majd állni a kapott pofon után.
A címlapkép forrása: Getty Images.
portfolio
