Błąd w zabezpieczeniu pralek pozwalał na darmowe pranie. Sprawdź, jak odkryło go dwóch studentów

Dwóch studentów wykryło lukę w pralkach internetowych, umożliwiającą darmowe pranie i manipulowanie saldem konta. Firma CSC ServiceWorks, mimo licznych zgłoszeń, nie naprawiła problemu przez wiele miesięcy. Studenci wskazują, że firmy dostarczające tego typu usługi muszą przywiązywać większą wagę do kwestii bezpieczeństwa.

Błąd w zabezpieczeniu pralek pozwalał na darmowe pranie. Sprawdź, jak odkryło go dwóch studentów
Źródło zdjęć: © Unsplash | Florian Olivo

19.05.2024 | aktual.: 20.05.2024 08:11

Dwóch studentów z Uniwersytetu Kalifornijskiego w Santa Cruz, Alexander Sherbrooke i Iakov Taranenko, podzieliło się z Tech Crunch odkryciem luki bezpieczeństwa w pralkach podłączonych do internetu. Luka ta umożliwia bezpłatne korzystanie z ponad miliona pralek znajdujących się w akademikach i kompleksach mieszkalnych na całym świecie. Pomimo zgłoszenia problemu firmie CSC ServiceWorks, odpowiedzialnej za eksploatację urządzeń, błąd pozostał niezałatany przez wiele miesięcy. Firma zignorowała bowiem prośby o jej naprawienie.

Na czym polegała luka bezpieczeństwa w pralkach połączonych do internetu?

Studenci odkryli, że można wykorzystać API aplikacji CSC Go do zdalnego wysyłania poleceń do pralek oraz manipulowania saldem konta użytkownika bez faktycznego doładowywania środków. Dzięki temu byli w stanie nie tylko uruchomić cykl prania za darmo, ale również symulować posiadanie milionów dolarów na swoim koncie w aplikacji. CSC ServiceWorks, jako dostawca usługi, nie zadbał o właściwe sprawdzanie zabezpieczeń na swoich serwerach, co stanowi poważne uchybienie w ochronie przed nieautoryzowanym dostępem. Pomimo prób kontaktu i zgłoszenia problemu, firma nie odpowiedziała na wezwania do naprawy błędu.

Bez odpowiedzi, ale z nadzieją na poprawę

Pomimo braku odpowiedzi od CSC ServiceWorks, studenci nie tracą nadziei, że ich odkrycie, pomoże wpłynąć na poprawę bezpieczeństwa. Wyrażają przy tym zrozumienie dla potencjalnych zagrożeń wynikających z podatności takich urządzeń na ataki internetowe. Podkreślają jednak, że dostawcy tego typu technologii powinni z większą odpowiedzialnością podchodzić do bezpieczeństwa oferowanych przez siebie usług. Postawa młodych badaczy świadczy o tym, że ich zaangażowanie w badania nad bezpieczeństwem ma dobroczynny cel. Pokazuje też, że są oni otwarci na współpracę z firmami w celu eliminowania podobnych luk.

W obliczu tej sytuacji CSC ServiceWorks musi zmierzyć się z wyzwaniem rozwiązania zgłoszonych problemów bezpieczeństwa, aby zapewnić swoim użytkownikom bezpieczne i uczciwe korzystanie z oferowanych usług. Ten przypadek podkreśla ogólną potrzebę poprawy praktyk cyberbezpieczeństwa w sektorze usług konsumenckich.

Kim są młodzi badacze, którzy odkryli błąd w zabezpieczeniu pralek?

Jak zostało już wspomniane, młodzi odkrywcy są studentami Uniwersytetu Kalifornijskiego w Santa Cruz. Alexander Sherbrooke jest też twórcą aplikacji SlugSchedule, która usprawnia proces rejestracji na zajęcia na tej uczelni. Aplikacja oferuje szybkie wyszukiwanie kursów, wizualizację harmonogramu zajęć, oceny profesorów z RateMyProfessors oraz śledzenie dostępności miejsc w czasie rzeczywistym.

Iakov Taranenko jest współzałożycielem Klubu Bezpieczeństwa UCSC, który organizuje warsztaty i konkursy z zakresu cyberbezpieczeństwa. Jego zespół zajął drugie miejsce na 80 drużyn w konkursie MITRE Embedded Capture the Flag (eCTF), gdzie projektowali bezpieczny system wbudowany oraz analizowali i atakowali projektów konkurentów.​ Ponadto w konkursie NSA Codebreaker Challenge 2022, zespół UCSC, w tym Taranenko, zdobył trzecie miejsce na 445 uniwersytetów, rozwiązując zadania związane z inżynierią wsteczną i analizą cyberataków​.

źródło: TechCrunch

Marcin Wierzchoś, dziennikarz Gadżetomanii

Wybrane dla Ciebie
Komentarze (0)
© Gadżetomania
·

Pobieranie, zwielokrotnianie, przechowywanie lub jakiekolwiek inne wykorzystywanie treści dostępnych w niniejszym serwisie - bez względu na ich charakter i sposób wyrażenia (w szczególności lecz nie wyłącznie: słowne, słowno-muzyczne, muzyczne, audiowizualne, audialne, tekstowe, graficzne i zawarte w nich dane i informacje, bazy danych i zawarte w nich dane) oraz formę (np. literackie, publicystyczne, naukowe, kartograficzne, programy komputerowe, plastyczne, fotograficzne) wymaga uprzedniej i jednoznacznej zgody Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, będącej właścicielem niniejszego serwisu, bez względu na sposób ich eksploracji i wykorzystaną metodę (manualną lub zautomatyzowaną technikę, w tym z użyciem programów uczenia maszynowego lub sztucznej inteligencji). Powyższe zastrzeżenie nie dotyczy wykorzystywania jedynie w celu ułatwienia ich wyszukiwania przez wyszukiwarki internetowe oraz korzystania w ramach stosunków umownych lub dozwolonego użytku określonego przez właściwe przepisy prawa.Szczegółowa treść dotycząca niniejszego zastrzeżenia znajduje się  tutaj.