Ошибка в безопасности компании CSC ServiceWorks позволяет миллионам студентов и других пользователей общественных прачечных бесплатно стирать белье. Студенты Калифорнийского университета в Санта-Крузе обнаружили уязвимость в программе и проинформировали компанию, которая работает в нескольких странах, но их сообщение осталось без ответа.
Студенты Александр Шербрук и Яков Тараненко использовали API приложения для управления прачечной, чтобы удаленно отправлять команды стиральным машинам, управляемым CSC, и бесплатно запускать стирку. Несмотря на отсутствие средств на балансе, устройства послушно активировались. В другом кейсе студенты использовали уязвимость, чтобы зачислять на свой счет в прачечной миллионы долларов.
Шербрук и Тараненко обнаружили, что серверы CSC можно обманом заставить принимать команды, изменяющие баланс их счетов. Это позволяет платить за стирку, фактически не вкладывая реальные средства на собственный счет.
CSC ServiceWorks — крупная компания, предоставляющая услуги прачечных в разных странах мира. Всего в Европе, США и Канаде в отелях, университетских кампусах и жилых домах установлено более миллиона стиральных машин, пишет компания на своем сайте. О найденной уязвимости студенты сразу написали на электронную почту CSC, но с января не получили ответа.
Вместо этого компания «тихо уничтожила фальшивые миллионы на счету», сохранив уязвимость, рассказали студенты TechCrunch. После этого они решили придать историю огласке и представили свое исследование на университетской конференции по кибербезопасности. Перед публикацией журналисты TechCrunch попросили CSC прокомментировать ситуацию, но также не получили ответа.
Уязвимость CSC — хорошее напоминание о проблемах, связанных с безопасностью в интернете вещей, отмечают студенты. Обнаруженный баг в программном обеспечении влияет только на доходы компании, но другие подобные уязвимости, которые компании игнорируют, могут влиять и на пользователей, например, позволяя хакерам получать доступ к камерам наблюдения или другим устройствам, подключенным к сети.
Читать далее:
Открытие ученых впервые подтвердило правоту Эйнштейна
Фото природной аномалии из космоса опубликовал американский астронавт
Рядом с нами нашли планету размером с Землю: год там длится 17 часов
На обложке: Изображение от freepik, сведения о лицензии