Чистое удовольствие. Студенты нашли ошибку, которая сделала популярную услугу бесплатной для миллионов людей
Студенты Калифорнийского университета нашли существенную уязвимость в системе поставщика стиральных машин в жилые дома и университеты. Проблема позволяла миллионам пользователей не платить за стирку.
CSC ServiceWorks — это крупная компания, обслуживающая прачечные, установленные в гостиницах, домах и университетских городках в Соединенных Штатах Америки, Канаде и Европе. Ее сеть охватывает более 1 миллиона стиральных машин. Впрочем, эта система, как выяснили двое студентов Калифорнийского университета Александр Шербрук и Яков Тараненко, имеет существенную уязвимость, позволяющую кому-либо удаленно отправлять команды в стиральные машины, которыми управляет CSC, и бесплатно управлять циклами стирки.
Как пишет TechCrunch, Шербрук смог запустить сценарий кода с инструкциями, которые сообщали машине начать цикл, несмотря на то, что на его счету в прачечной было 0 долларов. В другом случае студенты смогли создать баланс в несколько миллионов долларов на один из своих счетов в прачечной, и система на это не среагировала.
Студенты-исследователи сказали, что уязвимость кроется в API, который используется мобильным приложением CSC Go. Шербрук и Тараненко обнаружили, что серверы CSC можно обманом заставить принять команды, которые изменяют баланс их счетов, поскольку любые проверки безопасности выполняются программой на устройстве пользователя и автоматически доверяются серверам CSC.
Поскольку CSC ServiceWorks не имеет специальной страницы безопасности для сообщений об уязвимостях безопасности, Шербрук и Тараненко отправили компании несколько сообщений через ее онлайн-форму для связи, но ответа так и не получили. Студенты также отправили свои выводы в Координационный центр CERT в Университете Карнеги-Меллона, помогающий исследователям безопасности раскрывать недостатки систем поставщикам, которых это касается, и предоставлять рекомендации по их исправлению.
Компания публично не прокомментировала сообщение об обнаруженной ошибке. В то же время баланс счета исследователей в несколько миллионов долларов CSC тихо удалила после того, как получила сообщение о проблеме. Сама ошибка, по словам исследователей, до сих пор не исправлена.
