Błąd w zabezpieczeniu pralek pozwalał na darmowe pranie. Sprawdź, jak odkryło go dwóch studentów

Dwóch studentów wykryło lukę w pralkach internetowych, umożliwiającą darmowe pranie i manipulowanie saldem konta. Firma CSC ServiceWorks, mimo licznych zgłoszeń, nie naprawiła problemu przez wiele miesięcy. Studenci wskazują, że firmy dostarczające tego typu usługi muszą przywiązywać większą wagę do kwestii bezpieczeństwa.

pralki
Źródło zdjęć: © Unsplash | Florian Olivo
Marcin Wierzchoś

Dwóch studentów z Uniwersytetu Kalifornijskiego w Santa Cruz, Alexander Sherbrooke i Iakov Taranenko, podzieliło się z Tech Crunch odkryciem luki bezpieczeństwa w pralkach podłączonych do internetu. Luka ta umożliwia bezpłatne korzystanie z ponad miliona pralek znajdujących się w akademikach i kompleksach mieszkalnych na całym świecie. Pomimo zgłoszenia problemu firmie CSC ServiceWorks, odpowiedzialnej za eksploatację urządzeń, błąd pozostał niezałatany przez wiele miesięcy. Firma zignorowała bowiem prośby o jej naprawienie.

Na czym polegała luka bezpieczeństwa w pralkach połączonych do internetu?

Studenci odkryli, że można wykorzystać API aplikacji CSC Go do zdalnego wysyłania poleceń do pralek oraz manipulowania saldem konta użytkownika bez faktycznego doładowywania środków. Dzięki temu byli w stanie nie tylko uruchomić cykl prania za darmo, ale również symulować posiadanie milionów dolarów na swoim koncie w aplikacji. CSC ServiceWorks, jako dostawca usługi, nie zadbał o właściwe sprawdzanie zabezpieczeń na swoich serwerach, co stanowi poważne uchybienie w ochronie przed nieautoryzowanym dostępem. Pomimo prób kontaktu i zgłoszenia problemu, firma nie odpowiedziała na wezwania do naprawy błędu.

Bez odpowiedzi, ale z nadzieją na poprawę

Pomimo braku odpowiedzi od CSC ServiceWorks, studenci nie tracą nadziei, że ich odkrycie, pomoże wpłynąć na poprawę bezpieczeństwa. Wyrażają przy tym zrozumienie dla potencjalnych zagrożeń wynikających z podatności takich urządzeń na ataki internetowe. Podkreślają jednak, że dostawcy tego typu technologii powinni z większą odpowiedzialnością podchodzić do bezpieczeństwa oferowanych przez siebie usług. Postawa młodych badaczy świadczy o tym, że ich zaangażowanie w badania nad bezpieczeństwem ma dobroczynny cel. Pokazuje też, że są oni otwarci na współpracę z firmami w celu eliminowania podobnych luk.

W obliczu tej sytuacji CSC ServiceWorks musi zmierzyć się z wyzwaniem rozwiązania zgłoszonych problemów bezpieczeństwa, aby zapewnić swoim użytkownikom bezpieczne i uczciwe korzystanie z oferowanych usług. Ten przypadek podkreśla ogólną potrzebę poprawy praktyk cyberbezpieczeństwa w sektorze usług konsumenckich.

Najszybsza kradzież kyrptowalut w historii. Ile ukradli dwaj studenci MIT?
Najszybsza kradzież kyrptowalut w historii. Ile ukradli dwaj studenci MIT?

Kim są młodzi badacze, którzy odkryli błąd w zabezpieczeniu pralek?

Jak zostało już wspomniane, młodzi odkrywcy są studentami Uniwersytetu Kalifornijskiego w Santa Cruz. Alexander Sherbrooke jest też twórcą aplikacji SlugSchedule, która usprawnia proces rejestracji na zajęcia na tej uczelni. Aplikacja oferuje szybkie wyszukiwanie kursów, wizualizację harmonogramu zajęć, oceny profesorów z RateMyProfessors oraz śledzenie dostępności miejsc w czasie rzeczywistym.

Iakov Taranenko jest współzałożycielem Klubu Bezpieczeństwa UCSC, który organizuje warsztaty i konkursy z zakresu cyberbezpieczeństwa. Jego zespół zajął drugie miejsce na 80 drużyn w konkursie MITRE Embedded Capture the Flag (eCTF), gdzie projektowali bezpieczny system wbudowany oraz analizowali i atakowali projektów konkurentów.​ Ponadto w konkursie NSA Codebreaker Challenge 2022, zespół UCSC, w tym Taranenko, zdobył trzecie miejsce na 445 uniwersytetów, rozwiązując zadania związane z inżynierią wsteczną i analizą cyberataków​.

źródło: TechCrunch

Marcin Wierzchoś, dziennikarz Gadżetomanii

Źródło artykułu: WP Gadżetomania
Wybrane dla Ciebie
Efekt zmian klimatycznych. Mikroorganizmy budzą się po latach
Efekt zmian klimatycznych. Mikroorganizmy budzą się po latach
To był największy wybuch w historii. Car-bomba wywołała globalny niepokój
To był największy wybuch w historii. Car-bomba wywołała globalny niepokój
Zmiany w Messengerze. Przygotuj się
Zmiany w Messengerze. Przygotuj się
Nowa gra ze świata Wiedźmina w fazie przygotowań. Szukają scenarzysty
Nowa gra ze świata Wiedźmina w fazie przygotowań. Szukają scenarzysty
Chcieli skopiować maszynę do produkcji procesorów. Przyłapali chińskich inżynierów
Chcieli skopiować maszynę do produkcji procesorów. Przyłapali chińskich inżynierów
Zaktualizuj Windows 11. Najnowsze wydanie jest dostępne dla każdego
Zaktualizuj Windows 11. Najnowsze wydanie jest dostępne dla każdego
Polacy zbudują największy katamaran na świecie. Projekt wygląda imponująco
Polacy zbudują największy katamaran na świecie. Projekt wygląda imponująco
DJI Osmo Mobile 8 oficjalnie. Gimbal z Apple DockKit, obrotem 360 stopni i mocniejszym magnesem
DJI Osmo Mobile 8 oficjalnie. Gimbal z Apple DockKit, obrotem 360 stopni i mocniejszym magnesem
Sawanna boi się ich bardziej niż lwów. Nowe badanie z Parku Krugera
Sawanna boi się ich bardziej niż lwów. Nowe badanie z Parku Krugera
Nowa funkcja mObywatela. Darmowy podpis kwalifikowany
Nowa funkcja mObywatela. Darmowy podpis kwalifikowany
Windows 11 zyskuje "agentów" AI. Mają przyspieszyć pracę
Windows 11 zyskuje "agentów" AI. Mają przyspieszyć pracę
Topowa karta graficzna. Ceny GeForce RTX 5090 szybują w górę
Topowa karta graficzna. Ceny GeForce RTX 5090 szybują w górę