Nell’epoca del computing in automobile, nell’epoca dei carputer e dei sistemi integrati, una paradossale storia che giunge dal Texas impone qualche ripensamento circa il modo in cui le automobili ed i sistemi remoti entrano in contatto per dialogare. La fallacia di questi sistemi, come spesso succede, può infatti essere identificata nel fattore umano.
La vicenda è ambientata a Austin. Un rivenditore d’auto, la Texas Auto Center, ha messo in vendita una serie di vetture ai quali i clienti possono accedere anche con particolari formule di credito. Per il titolare rimane una garanzia, rappresentata dalla tecnologia Payteck, azienda che sul proprio sito web si propone come promotrice di “innovative soluzioni per il credito”. E la soluzione è effettivamente curiosa: nel caso in cui il cliente non rispettasse correttamente le scadenze di pagamento, l’auto entrerebbe sotto il controllo di un computer remoto da cui verrebbe avviato anzitutto un codice per far suonare il clacson ed avvisare del mancato pagamento. Infine, in caso di recidiva, l’auto può essere del tutto fermata.
La tecnologia Payteck prevede un piccolo box da installarsi sull’automobile a garanzia del venditore, box tramite il quale l’azienda è in grado di controllare l’auto da remoto tutto tramite semplice connessione mobile. Il sito web del produttore non offre maggiori dettagli per un sistema che, lungi dal voler funzionare come un antifurto, permette semplicemente un controllo del tipo «No pay, no start» che ostacola il cliente nel caso in cui non si comportasse in modo lineare rispetto alle scadenze di pagamento previste.
La tecnologia, esistente da almeno un decennio e sfruttata dalla Payteck fin dal 2005, è incappata però nel primo grave incidente. Un ragazzo 20enne licenziato dalla Texas Auto Center, infatti, ha provveduto ad un backup personale delle password trafugando così i dati dall’azienda. Una volta fuori ufficio, poi, tale Omar Ramos-Lopez per vendetta ha dato il via ad un vero e proprio attacco “hacker” bloccando oltre 100 auto e divertendosi ad inviare i messaggi di pagamento che le auto coinvolte hanno interpretato tramite ripetuto suono del clacson.
Nel giro di poche ore il problema è stato risolto mediante un intervento sulle singole auto e sulle password di accesso al sistema. Risalendo all’indirizzo IP del collegamento truffaldino, infine, è stato possibile risalire al colpevole, il quale è stato conseguentemente denunciato ed arrestato per aver acceduto da remoto all’account di un collega entrando così in possesso delle credenziali per affondare la propria rumorosa e magra vendetta.