Błąd w zabezpieczeniu pralek pozwalał na darmowe pranie. Sprawdź, jak odkryło go dwóch studentów

Dwóch studentów z Uniwersytetu Kalifornijskiego w Santa Cruz, Alexander Sherbrooke i Iakov Taranenko, podzieliło się z Tech Crunch odkryciem luki bezpieczeństwa w pralkach podłączonych do internetu. Luka ta umożliwia bezpłatne korzystanie z ponad miliona pralek znajdujących się w akademikach i kompleksach mieszkalnych na całym świecie. Pomimo zgłoszenia problemu firmie CSC ServiceWorks, odpowiedzialnej za eksploatację urządzeń, błąd pozostał niezałatany przez wiele miesięcy. Firma zignorowała bowiem prośby o jej naprawienie.

Studenci odkryli, że można wykorzystać API aplikacji CSC Go do zdalnego wysyłania poleceń do pralek oraz manipulowania saldem konta użytkownika bez faktycznego doładowywania środków. Dzięki temu byli w stanie nie tylko uruchomić cykl prania za darmo, ale również symulować posiadanie milionów dolarów na swoim koncie w aplikacji. CSC ServiceWorks, jako dostawca usługi, nie zadbał o właściwe sprawdzanie zabezpieczeń na swoich serwerach, co stanowi poważne uchybienie w ochronie przed nieautoryzowanym dostępem. Pomimo prób kontaktu i zgłoszenia problemu, firma nie odpowiedziała na wezwania do naprawy błędu.

Pomimo braku odpowiedzi od CSC ServiceWorks, studenci nie tracą nadziei, że ich odkrycie, pomoże wpłynąć na poprawę bezpieczeństwa. Wyrażają przy tym zrozumienie dla potencjalnych zagrożeń wynikających z podatności takich urządzeń na ataki internetowe. Podkreślają jednak, że dostawcy tego typu technologii powinni z większą odpowiedzialnością podchodzić do bezpieczeństwa oferowanych przez siebie usług. Postawa młodych badaczy świadczy o tym, że ich zaangażowanie w badania nad bezpieczeństwem ma dobroczynny cel. Pokazuje też, że są oni otwarci na współpracę z firmami w celu eliminowania podobnych luk.

W obliczu tej sytuacji CSC ServiceWorks musi zmierzyć się z wyzwaniem rozwiązania zgłoszonych problemów bezpieczeństwa, aby zapewnić swoim użytkownikom bezpieczne i uczciwe korzystanie z oferowanych usług. Ten przypadek podkreśla ogólną potrzebę poprawy praktyk cyberbezpieczeństwa w sektorze usług konsumenckich.

Jak zostało już wspomniane, młodzi odkrywcy są studentami Uniwersytetu Kalifornijskiego w Santa Cruz. Alexander Sherbrooke jest też twórcą aplikacji SlugSchedule, która usprawnia proces rejestracji na zajęcia na tej uczelni. Aplikacja oferuje szybkie wyszukiwanie kursów, wizualizację harmonogramu zajęć, oceny profesorów z RateMyProfessors oraz śledzenie dostępności miejsc w czasie rzeczywistym.

Iakov Taranenko jest współzałożycielem Klubu Bezpieczeństwa UCSC, który organizuje warsztaty i konkursy z zakresu cyberbezpieczeństwa. Jego zespół zajął drugie miejsce na 80 drużyn w konkursie MITRE Embedded Capture the Flag (eCTF), gdzie projektowali bezpieczny system wbudowany oraz analizowali i atakowali projektów konkurentów.​ Ponadto w konkursie NSA Codebreaker Challenge 2022, zespół UCSC, w tym Taranenko, zdobył trzecie miejsce na 445 uniwersytetów, rozwiązując zadania związane z inżynierią wsteczną i analizą cyberataków​.

źródło: TechCrunch