Tutti i prezzi sono validi al momento della pubblicazione. Se fai click o acquisti qualcosa, potremmo ricevere un compenso.

L'app Carge hackerata. Oltre al danno economico, gli insulti razzisti | Novità

23 Agosto 2021 50

Carge, l'app di ricarica per auto elettriche nata da una startup, è nei guai. Tra la sera del 20 agosto e la notte del 21, sono stati effettuati diversi addebiti comunicati da Stripe, il sistema di pagamenti digitali a cui l'applicazione si appoggia, prelevando indebitamente anche cifre molto importanti dai conti dei propri utenti... incluso il sottoscritto:


Il prelievo, a fronte dell'ovvio inutilizzo del servizio, è stato accompagnato poi dalla mail di ricevuta ufficiale con tanto di messaggio pieno di insulti a sfondo razziale a rincarare la dose e a far ipotizzare un hack ai danni della compagnia o del sistema di pagamento:


Diffusasi in Italia grazie anche al passaparola di alcuni gruppi dedicati alla mobilità elettrica che avevano avviato convenzioni per scontistiche tramite l'app, Carge prometteva (e promette tutt'ora) di poter ricaricare in roaming tramite diversi operatori a tariffe spesso inferiori a quelle ufficiali. Qualche esempio? Enel X in corrente alternata a 0,32€ / kWh al posto dei classici 0,40€, Enel X in corrente continua a 0,36€ al posto di 0,50€ e IONITY a 0,65€ / kWh in vece della tariffa ufficiale di 0,79€.

I prelievi sono scattati sugli account di diversi utenti, tanto che nei gruppi dedicati alla mobilità elettrica sono in tanti a mostrare screenshot con tentativi (andati a buon fine o meno a seconda del tipo di carta di credito utilizzata) di appropriazione indebita di somme anche a tre zeri.

Poco dopo quello che sembra un attacco a tutti gli effetti, probabilmente sfruttando una falla di sicurezza dell'app, sono arrivate anche le e-mail di Carge con lo storno della transazione. Resta il problema dei tempi del rimborso: i 300$ prelevati dal mio account, ad esempio, sono ancora dispersi nell'etere, in attesa di capire quando la liquidità potrà tornare disponibile sul mio conto.


Inoltre, al momento, l'account risulta inaccessibile, cosa che rende impossibile eliminare i dati della carta di credito se non contattando un supporto clienti invaso dalle richieste.

Abbiamo già chiesto una dichiarazione all'azienda e provvederemo ad aggiornare l'articolo. Nell'attesa, una delle domande a cui serve risposta è: quali altri dati sensibili sono stati compromessi?

Aggiornamento delle ore 9:30 - Con una mail automatica a tutti i clienti, il CEO e co-fondatore Lefteris Karabatsakis ha annunciato che tutti i pagamenti sono stati rimborsati grazie al supporto di Stripe e sarà rilasciata una seconda mail con la spiegazione del perché questo sia accaduto. Al momento l'azienda assicura che i dettagli delle carte di credito non sono stati rubati e che tutti i pagamenti futuri sono stati bloccati per motivi di sicurezza.

ATTACCO HACKER A CARGE: COSA è SUCCESSO
23/08

L'ATTACCO NEI DETTAGLI

Trascorsi alcuni giorni dall'incidente, Carge conferma che tutti gli utenti sono stati rimborsati e sono state avviate le indagini sui colpevoli.

Il CEO assicura che non ci sono stati furti di dati sensibili perché i numeri delle carte di credito salvate nell'account erano protetti da crittografia AES-256 e le chiavi di decrittazione erano contenute su un server diverso. L'infrastruttura di Stipre, infatti, non permette di ottenere i numeri delle carte e neanche Carge ha accesso ai dettagli del pagamento.

In un nuovo messaggio del CEO, il terzo da quando tutto è iniziato, viene poi spiegata la dinamica dell'attacco. Il primo tentativo di bucare il sistema di Carge passando per l'ambiente di produzione non è andato a buon fine, ma i colpevoli sono riusciti ad infiltrarsi nell'ambiente di prova (il livello precedente, usato per lavorare sulle release successive dell'app e per gli stress test) e avviare il processo di pagamento a carico di alcuni utenti.

Una falla ha permesso di sfruttare il collegamento tra i due ambienti e i pagamenti sono stati avviati utilizzando dei token, rappresentazioni criptate e codificate dei dettagli delle carte di credito. Eliminando i token, come prontamente fatto, chi li ha ottenuti si ritrova, a conti fatti, con qualcosa di non più utilizzabile.

Per questo, e considerando che i fondi sono andati direttamente nell'account Stripe di Carge e non potevano essere spostati altrove (i server di Stripe non sono mai stati compromessi), l'ipotesi dell'azienda è che si sia trattato di un attacco volto a danneggiare la reputazione della startup.

ULTERIORI MISURE DI SICUREZZA

Per evitare il ripetersi di episodi simili, sono state applicate diverse contromisure. La prima riguarda il rapporto con Stripe: Carge sta richiedendo al fornitor del servizio di impostare limiti di sicurezza in grado di far suonare prima i campanelli d'allarme e bloccare l'esecuzione.

Inoltre, è stato assunto un team incaricato di effettuare frequenti tentativi di attacco per individuare ulteriori vulnerabilità e si è lavorato per essere sicuri che nessun dato degli utenti possa più essere accessibile dall'ambiente di test. Carge invita quindi gli utenti a tornare a fidarsi della loro applicazione e annuncia che si farà carico di tutti i costi associati ai rinnovi delle carte eventualmente bloccate, alle eventuali perdite a causa del tasso di cambio delle valute al momento del rimborso e ai costi bancari.

Sarà poi erogato un credito di 20€ per le ricariche entro il 31 agosto a titolo di piccolo rimborso morale per la preoccupazione e l'inconveniente.


50

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
ACTARUS
Una falla a permesso di sfruttare...


Verbo "avere" ;)

Nonno Simpson

hai ragione. ora vai a prendere un bacardi breezer per mostrare a tutti i tuoi coetanei che sei un bimbo grande.

Coolguy

So' caxxi mieo

Coolguy

Cojo

xpy
CapRichard

Mi sono anche arrivate le email, sono uno dei coinvolti ahahah

xpy

Hanno aggiunto la spiegazione

xpy

Hanno aggiornato l'articolo con la spiegazione

delpinsky
Alieno

Ecco l’id1ota della settimana!

Ma che scemenze scrivi? il concetto è che basta non farsi in*ulare dalla moda degli oggetti connessi eh.

Nonno Simpson

Addirittura. Deve essere particolarmente vuota la tua vita se queste sono le tue gioie.

Coolguy

Godo

ACTARUS

Questa è la mia bici classica...ha quasi 40 anni, non paga bollo e non inquina.

https://uploads.disquscdn.c...

Davide Moriello

l'unica per te è non avere internet, non avere un cellulare, non avere una macchina nuova, prendersi una bicicletta "classica" o camminare a piedi. In che mondo vivi? Che ci fai qui su hdmotori?

CapRichard

Il mio era solo un controdissing al fatto che le auto elettriche bla bla ma poi i motori classici senza una elettrico manco vanno.

Nessun riferimento ad hack o cose varie anche perché non hanno hackerato un'auto qua, ma un sistema di pagamento.

Ivan M.

E' elettrico non elettronico, la differenza è sottile eh. E no, ancora oggi nelle auto di "ultima generazione", la maggiorparte degli avviamenti è elettrico senza elettronicca di mezzo. L'elettronica e quindi l'informatica viene applicata semplicemente al transponder che deve leggerti il codice della chiave, se non combacia, non apre iniettori, e dato che prrobabilmente anche quelli son gestiti dalla centralina non cammini. Ma su auto più vecchie con pompa meccanica e motorino, c'è zero elettronica. E si parla anche di modelli oltre il 2010.

ALDream40K
CapRichard

40gradi se l'aria è secca.

rsMkII

L'olio di gomito fino a quale temperatura va?

rsMkII

Neanche con la bici di mia nonna

rsMkII

Con tutto quello che si sarà sparato credo che il freddo non fosse un problema.

CapRichard

Si sembra proprio abbiano fatto accesso col loro account e quindi chiesto pagamenti a tappeto.

Mako

molto probabile che in un modo o nell'altro abbiano ottenuto l'accesso al loro account di stripe o ai dati (secret ecc)

ACTARUS

Fa pure bene spingerla..

AmazedYed

Assolutamente no, servono solo per la mail e la verifica che tu non sia un bot

Dut Lui

Quindi se hai fatto l'accesso con account Google/Apple non ti hanno preso nessun dato dei relativi account?

Dut Lui

Tanto meglio così

Ok_76
Ok_76
CapRichard

Usare account google/apple lo si fa apposta perché ci pensano loro a gestire offuscamenti e cifratura.

CapRichard

Togli il motorino di avviamento e farla partire.
Tutte le auto endotermiche senza un motore elettrico manco si avviano.
Oppure olio di gomito.

CapRichard

Di mezzo c'è Stripe, quindi con gestione miglior di un sistema proprietario.

ACTARUS

Se avesse avuto una fiat 127 non sarebbe successo

giovanni cordioli

"Entra nel futuro, entra nel futuro"...

- Dottore mi aiuti!..... il futuro mi entrato tutto nel didietro!....

ACTARUS
Ok_76
AmazedYed

No, il login con Apple serve solo a mascherare la mail

Davide

entri nell'auto da remoto, imposti la destinazione e l'auto arriva da sola "autorubandosi"

R_mzz

No e neppure i dati della carta.
I dati della carta e i pagamenti sono gestiti da Stripe. https://uploads.disquscdn.c...
(Da un gruppo Facebook)

salvatore esposito

è stato già identificato
in realtà non si è trattato di hacking ma voodoo

https://uploads.disquscdn.c...

Vae Victis

L'auto che si ruba da sola :-)

Dut Lui

Installata l'altro giorno ma per fortuna non avevo inserito i dati della carta - possono fregare i dati dell'account google collegato?

ACTARUS
Francesco Renato

La vendetta del troll ignoto.

Gabriele Gabry

Sarà un troll del blog che si è evoluto

ADM90

Il login con “Accedi con Apple” è più sicuro del “accedi con Google”?

Miserabile

It's a Trump supporter!1111!!

Squak9000

gli insulti razziali servono per sviare le indagini

Mini Countryman C da 170 cv e la JCW da 300 cv prova su strada | Video

Volkswagen Passat 2024: primo contatto con la nuova generazione | Video

Peugeot e-3008 elettrica: fino a 700 km, il SUV alla prova su strada | Video

Renault 5 E-TECH Electric: elettrica a meno di 25.000€... con l'asterisco | Video