A Carge nevű, elektromosautó-töltőket integráló applikáció felhasználói szembesültek a jogalap nélküli tranzakciókkal, melyhez durva szöveget is írtak az elkövetők, például ilyeneket: "megloptunk, koszos majom!".
A magyarországi elektromos autósok közösségét összekovácsoló Villanyautósok.hu számolt be részletesen arról, hogy a közelmúltban gyanús kártyás tranzakciókat indítottak a Carge nevű alkalmazás felhasználóinál - írja a Portfolio.
A hétvégén éjjel 2 órakor indított tranzakciók 100, 200, 1000 illetve 2000 dolláros terhelések formájában érkeztek a felhasználóknak.
A Carge egy görög alapítású startup, mely Magyarországon is aktív, az app célja pedig, hogy a különböző szolgáltatók elektromosautó-töltőit egyetlen alkalmazás mögé integrálja, azaz egy programmal sok európai szolgáltató töltőállomása is működtethető.
Az app üzemeltetőjét hackertámadás érte, így érkezhetett a felhasználók számára több jogalap nélküli terhelés, tehát nem töltötték az autójukat, az app ennek ellenére küldött terhelést a felhasználó kártyájára. A tranzakciók mellett ráadásul durván sértő, rasszista kísérőszövegek is megjelentek.
A villanyautós blog közvetlenül a Carge ügyvezetőjétől kapott tájékoztatást arról szombat hajnalban, hogy a technikai csapat már vizsgálja a tranzakciókat, és a felhasználók ígéretet kaptak arra, hogy a lehető leghamarabb visszatérítik az ügyfelek számára jogtalanul kiterhelt összegeket.
Erre végül nem volt szükség, mert minden érintett terhelést visszavontak, így a fals tranzakciók eltűntek a kimutatásokból.
Tehát nem visszatérítették az összeget, hanem le sem vonták a kártya mögötti számláról.
A társaság azt állítja a levélben, hogy a kártyaadatok biztonságban vannak, a „támadással nem szivárogtak ki adatok”, minden kártyaadatot AES-256 bites titkosítással tárolnak, és nem lehet hozzáférni szöveges adatként, a titkosítási kulcsokat külön szervereken tárolják.
Ha valaki letiltotta a kártyáját, akkor is rendezik a fenti pénzproblémát, ami 2-5 napig tarthat a számlavezető banktól függően, sőt, a letiltott kártyák esetleges újragyártási költségét is átvállalják. Közölték, hogy a kártyaadatok azért nem látszódnak az appban, mert ahogy korábban említették, minden rendszert/funkciót leállítottak, ami a fizetési folyamathoz kapcsolódik.
A társaság közlése szerint a termékfejlesztő tesztkörnyezetet sikerült feltörni, de az éles rendszerekhez nem fértek hozzá, a kártyaadatok és a személyes adatok állításuk szerint nem kerültek illetéktelen kezekbe.
Az ügybe bevont biztonsági szakértők és a társaság véleménye szerint az akció célja nem a pénzlopás volt, hanem a társaság hírnevének rontása.