Empresa ignorou alerta de pesquisadora e só agiu após clientes serem informados sobre os riscos
Uma pesquisadora de segurança cibernética identificou uma grave vulnerabilidade nos sistemas da Pudu Robotics, uma das maiores fabricantes de robôs de serviço do mundo. A falha permitia que hackers assumissem o controle total dos robôs de entrega da empresa. A resposta da Pudu, no entanto, só veio após os clientes serem diretamente informados do risco.
A Pudu Robotics, com sede na China, opera mais de 100 mil robôs em cerca de mil cidades ao redor do planeta. Entre seus modelos mais conhecidos estão o BellaBot, utilizado para servir refeições, e o FlashBot, equipado com braços robóticos e capacidade de interagir com sistemas prediais, como elevadores. Com uma fatia de 23% do mercado global, a empresa lidera o segmento de robótica comercial — mas o rápido crescimento expôs sérias falhas de segurança em seu sistema de gerenciamento.
A descoberta foi feita pela hacker conhecida como Bobdahacker, famosa por ter revelado anteriormente uma brecha nos sistemas do McDonald’s que permitia obter comida gratuitamente. Ao analisar os sistemas da Pudu, ela encontrou uma falha crítica relacionada à autenticação de administradores. Um invasor poderia obter um token de autenticação válido — via ataques de cross-site scripting (XSS) ou até mesmo criando uma simples conta de teste — e, com isso, acessar todas as funções administrativas dos robôs.
Com esse acesso, um cibercriminoso seria capaz de paralisar frotas inteiras, redirecionar pedidos, sabotar operações em restaurantes ou até mesmo invadir redes corporativas via FlashBots. A ausência de etapas adicionais de verificação após o login facilitava ações como redefinir comandos, alterar localizações dos robôs ou renomeá-los, dificultando a recuperação por parte da empresa.
Mesmo diante da gravidade, a Pudu Robotics demorou a reagir. A pesquisadora notificou a empresa no dia 12 de agosto, mas não obteve retorno. Após dias sem resposta, ela enviou e-mails para mais de 50 funcionários em diferentes departamentos. A empresa só começou a agir quando a pesquisadora decidiu alertar diretamente os clientes da Pudu, em um movimento que classificou como “pressão responsável”.
Entre os clientes informados estavam grandes redes japonesas como a Skylark Holdings e a Zensho, que rapidamente tomaram medidas internas de segurança. Apenas dois dias após esse contato, a Pudu respondeu — com um e-mail genérico que, segundo Bobdahacker, parecia ter sido gerado por inteligência artificial.
A reação inicial da empresa foi considerada lenta e pouco profissional, mas a pressão do mercado surtiu efeito: a falha foi corrigida e os sistemas da Pudu foram reforçados. O episódio demonstra como, em alguns casos, alertar os clientes diretamente pode ser a única forma eficaz de acelerar a resposta de uma empresa a riscos de segurança digital.
