23% мирового рынка и нулевая защита. Хакерша снова нашла дыру в крупной системе

Исследователь обнаружила уязвимости в админ-панели китайской компании Pudu Robotics, крупнейшего поставщика коммерческих сервисных роботов. Проблема позволяла злоумышленникам перенаправлять роботов и отдавать им любые команды.

Pudu выпускает более 100 тыс. машин, работающих в свыше тысячи городов: от ресторанных BellaBot в виде кота до FlashBot с механическими руками, которые управляют лифтами и другими системами. По данным Frost & Sullivan, компания занимает 23% мирового рынка сервисных роботов.

Белый хакер Bobdahacker, ранее раскрывшая уязвимость в системе заказов McDonald’s, изучила управляющее ПО Pudu. Она выяснила, что администраторы не ограничили доступ, и получив токен авторизации можно было управлять роботами.

Такой токен можно было украсть через XSS-атаку или получить, зарегистрировав тестовый аккаунт для потенциальных клиентов. После входа дополнительных проверок не требовалось: можно было менять заказы, перемещать роботов и даже переименовывать их, усложняя восстановление работы.

При таком доступе злоумышленники могли перенаправлять еду, останавливать всю сеть ресторанных роботов в «DDoS-атаке едой», заставлять FlashBot портить офисные системы или красть интеллектуальную собственность.

12 августа она сообщила об уязвимости в Pudu, но техническая поддержка, сервисная и торговая команды проигнорировали предупреждение.

Через несколько дней она отправила письма более чем 50 работникам компании, но реакции также не последовало.

Ситуация изменилась только после того, как Bobdahacker связалась с клиентами Pudu. Крупные японские сети Skylark Holdings и Zensho восприняли предупреждение всерьёз, и вскоре производитель вышел на контакт.

Ответ пришёл через 48 часов, но выглядел как автоматически сгенерированное письмо — в нём даже остался плейсхолдер [Your Email Address]. Исследователь опубликовала детали в своём блоге .

В итоге Pudu закрыла дыру в системе и усилила защиту. Компания публичных комментариев не дала.