Essas rachaduras podem permitir que hackers acessem dados de veículos ou informações de cartão de crédito dos consumidores, diz Ken Munro, cofundador da Pen Test Partners. Mas talvez a fraqueza mais preocupante para ele fosse que, como no teste do Concordia, sua equipe descobriu que muitos dos dispositivos permitiam que os hackers parassem ou começassem a carregar à vontade. Isso pode deixar os motoristas frustrados sem bateria cheia quando precisam, mas são os impactos cumulativos que podem ser realmente devastadores.
“Não é sobre o seu carregador, é sobre o carregador de todos ao mesmo tempo”, diz ele. Muitos usuários domésticos deixam seus carros conectados a carregadores, mesmo que não estejam consumindo energia. Eles podem, por exemplo, ligar depois do trabalho e programar o veículo para carregar durante a noite, quando os preços estiverem mais baixos. Se um hacker ligasse ou desligasse milhares ou milhões de carregadores simultaneamente, isso poderia desestabilizar e até derrubar redes elétricas inteiras.
“Inadvertidamente, criamos uma arma que os estados-nação podem usar contra nossa rede elétrica”, diz Munro. Os Estados Unidos vislumbraram como seria um ataque desse tipo em 2021, quando os hackers sequestrou o oleoduto colonial e interrompeu o abastecimento de gasolina em todo o país. O ataque terminou quando a empresa pagou milhões de dólares em resgate.
A principal recomendação de Munro para os consumidores é não conectar seus carregadores domésticos à Internet, o que deve impedir a exploração da maioria das vulnerabilidades. A maior parte das salvaguardas, no entanto, deve vir dos fabricantes.
“É responsabilidade das empresas que oferecem esses serviços garantir que sejam seguros”, diz Jacob Hoffman-Andrews, tecnólogo sênior da Electronic Frontier Foundation, uma organização sem fins lucrativos de direitos digitais. “Até certo ponto, você precisa confiar no dispositivo ao qual está se conectando.”
Electrify America recusou um pedido de entrevista. Com relação aos problemas documentados por Malcolm e os Kilowatts, o porta-voz Octavio Navarro escreveu em um e-mail que os incidentes foram isolados e as correções foram rapidamente implementadas. Em um comunicado, a empresa disse: “A Electrify America está constantemente monitorando e reforçando medidas para proteger a nós mesmos e a nossos clientes e com foco na redução de riscos e design de rede”.
A Pen Test Partners escreveu em suas descobertas que as empresas responderam em geral à correção das vulnerabilidades identificadas, com ChargePoint e outros preenchendo lacunas em menos de 24 horas (embora uma empresa tenha criado um novo buraco ao tentar corrigir o antigo). O Project EV não respondeu aos Pen Test Partners, mas acabou implementando “autenticação e autorização fortes”. Especialistas, no entanto, argumentam que já passou da hora de a indústria ir além dessa abordagem maluca para a segurança cibernética.
“Todo mundo sabe que isso é um problema e muitas pessoas estão tentando descobrir a melhor forma de resolvê-lo”, diz Johnson, acrescentando que viu progresso. Por exemplo, muitas estações de carregamento públicas atualizaram para métodos mais seguros de transmissão de dados. Mas quanto a um conjunto coordenado de padrões, diz ele, “não há muita regulamentação por aí”.
Houve algum movimento para mudar isso. A Lei Bipartidária de Infraestrutura de 2021 incluiu cerca de US$ 7,5 bilhões para expandir a rede de carregamento de veículos elétricos nos EUA, e o governo Biden fez da segurança cibernética parte dessa iniciativa. No outono passado, a Casa Branca convocou fabricantes e formuladores de políticas para discutir um caminho para garantir que o hardware de carregamento de veículos elétricos cada vez mais vital seja devidamente protegido.
“Nossa infraestrutura crítica precisa atender a um nível básico de segurança e resiliência”, diz Harry Krejsa, estrategista-chefe do Escritório da Casa Branca do Diretor Cibernético Nacional. Ele também argumentou que reforçar a segurança cibernética de EV é tanto construir confiança quanto mitigar riscos. Sistemas seguros, diz ele, “nos dão a confiança em nossas fundações digitais de próxima geração para almejar mais alto do que possivelmente poderíamos ter de outra forma”.
