Carge, l'app di ricarica per auto elettriche nata da una startup, è nei guai. Tra la sera del 20 agosto e la notte del 21, sono stati effettuati diversi addebiti comunicati da Stripe, il sistema di pagamenti digitali a cui l'applicazione si appoggia, prelevando indebitamente anche cifre molto importanti dai conti dei propri utenti... incluso il sottoscritto:

Il prelievo, a fronte dell'ovvio inutilizzo del servizio, è stato accompagnato poi dalla mail di ricevuta ufficiale con tanto di messaggio pieno di insulti a sfondo razziale a rincarare la dose e a far ipotizzare un hack ai danni della compagnia o del sistema di pagamento:

Diffusasi in Italia grazie anche al passaparola di alcuni gruppi dedicati alla mobilità elettrica che avevano avviato convenzioni per scontistiche tramite l'app, Carge prometteva (e promette tutt'ora) di poter ricaricare in roaming tramite diversi operatori a tariffe spesso inferiori a quelle ufficiali. Qualche esempio? Enel X in corrente alternata a 0,32€ / kWh al posto dei classici 0,40€, Enel X in corrente continua a 0,36€ al posto di 0,50€ e IONITY a 0,65€ / kWh in vece della tariffa ufficiale di 0,79€.

I prelievi sono scattati sugli account di diversi utenti, tanto che nei gruppi dedicati alla mobilità elettrica sono in tanti a mostrare screenshot con tentativi (andati a buon fine o meno a seconda del tipo di carta di credito utilizzata) di appropriazione indebita di somme anche a tre zeri.

Poco dopo quello che sembra un attacco a tutti gli effetti, probabilmente sfruttando una falla di sicurezza dell'app, sono arrivate anche le e-mail di Carge con lo storno della transazione. Resta il problema dei tempi del rimborso: i 300$ prelevati dal mio account, ad esempio, sono ancora dispersi nell'etere, in attesa di capire quando la liquidità potrà tornare disponibile sul mio conto.

Inoltre, al momento, l'account risulta inaccessibile, cosa che rende impossibile eliminare i dati della carta di credito se non contattando un supporto clienti invaso dalle richieste.

Abbiamo già chiesto una dichiarazione all'azienda e provvederemo ad aggiornare l'articolo. Nell'attesa, una delle domande a cui serve risposta è: quali altri dati sensibili sono stati compromessi?

Aggiornamento delle ore 9:30 - Con una mail automatica a tutti i clienti, il CEO e co-fondatore Lefteris Karabatsakis ha annunciato che tutti i pagamenti sono stati rimborsati grazie al supporto di Stripe e sarà rilasciata una seconda mail con la spiegazione del perché questo sia accaduto. Al momento l'azienda assicura che i dettagli delle carte di credito non sono stati rubati e che tutti i pagamenti futuri sono stati bloccati per motivi di sicurezza.

L'ATTACCO NEI DETTAGLI

Trascorsi alcuni giorni dall'incidente, Carge conferma che tutti gli utenti sono stati rimborsati e sono state avviate le indagini sui colpevoli.

Il CEO assicura che non ci sono stati furti di dati sensibili perché i numeri delle carte di credito salvate nell'account erano protetti da crittografia AES-256 e le chiavi di decrittazione erano contenute su un server diverso. L'infrastruttura di Stipre, infatti, non permette di ottenere i numeri delle carte e neanche Carge ha accesso ai dettagli del pagamento.

In un nuovo messaggio del CEO, il terzo da quando tutto è iniziato, viene poi spiegata la dinamica dell'attacco. Il primo tentativo di bucare il sistema di Carge passando per l'ambiente di produzione non è andato a buon fine, ma i colpevoli sono riusciti ad infiltrarsi nell'ambiente di prova (il livello precedente, usato per lavorare sulle release successive dell'app e per gli stress test) e avviare il processo di pagamento a carico di alcuni utenti.

Una falla ha permesso di sfruttare il collegamento tra i due ambienti e i pagamenti sono stati avviati utilizzando dei token, rappresentazioni criptate e codificate dei dettagli delle carte di credito. Eliminando i token, come prontamente fatto, chi li ha ottenuti si ritrova, a conti fatti, con qualcosa di non più utilizzabile.

Per questo, e considerando che i fondi sono andati direttamente nell'account Stripe di Carge e non potevano essere spostati altrove (i server di Stripe non sono mai stati compromessi), l'ipotesi dell'azienda è che si sia trattato di un attacco volto a danneggiare la reputazione della startup.

ULTERIORI MISURE DI SICUREZZA

Per evitare il ripetersi di episodi simili, sono state applicate diverse contromisure. La prima riguarda il rapporto con Stripe: Carge sta richiedendo al fornitor del servizio di impostare limiti di sicurezza in grado di far suonare prima i campanelli d'allarme e bloccare l'esecuzione.

Inoltre, è stato assunto un team incaricato di effettuare frequenti tentativi di attacco per individuare ulteriori vulnerabilità e si è lavorato per essere sicuri che nessun dato degli utenti possa più essere accessibile dall'ambiente di test. Carge invita quindi gli utenti a tornare a fidarsi della loro applicazione e annuncia che si farà carico di tutti i costi associati ai rinnovi delle carte eventualmente bloccate, alle eventuali perdite a causa del tasso di cambio delle valute al momento del rimborso e ai costi bancari.

Sarà poi erogato un credito di 20€ per le ricariche entro il 31 agosto a titolo di piccolo rimborso morale per la preoccupazione e l'inconveniente.