В США студенты обнаружили в сети прачечных уязвимость, позволяющую стирать вещи бесплатно. Они сообщили об этом, но их проигнорировали
Два студента из Калифорнийского университета в Санта-Крусе Александр Шербрук и Яков Тараненко обнаружили в сети прачечных CSC ServiceWorks уязвимость в системе безопасности, позволяющую не платить за стирку вещей. Они рассказали об этом TechCrunch.
Студенты попытались связаться с CSC ServiceWorks, однако компания не ответила на их запросы исправить ошибку, при этом уязвимость все еще не устранена.
CSC ServiceWorks — крупная компания, которая предоставляет услуги прачечной. Более чем миллиона стиральных машин сети установлены в отелях, университетских городках и жилых домах в США, Канаде и Европе.
По словам Шербрука и Тараненко, уязвимость позволяет любому пользователю удаленно отправлять команды стиральным машинам CSC и запускать циклы стирки бесплатно.
Баг был обнаружен в январе этого года: Шербрук сидел в прачечной в подвале со своим ноутбуком. У него совсем не было средств на счету, и он решил попробовать в качестве эксперимента запустить скрипт, который дает команду стиральной машине удаленно активировать новый цикл стирки, и это сработало. Машинка начала работать, а на дисплее появилось сообщение «НАЖМИТЕ СТАРТ».
Шербрук рассказал об этом Тараненко и вместе они продолжили экспериментировать — студенты добавили несуществующие миллионы долларов на свой счет в мобильном приложении CSC ServiceWorks, и это опять сработало.
Так как в CSC ServiceWorks нет специальной страницы для сообщений об уязвимостях, Шербрук и Тараненко отправили компании несколько сообщений через онлайн-форму обратной связи в январе, компания проигнорировала их. По словам студентов, они также пытались звонить, но безрезультатно.
При этом в CSC ServiceWorks все же обратили внимание на ситуацию и удалили фейковый миллионный баланс на счете студентов, но никак не прокомментировали это, а саму уязвимость не исправили.
Шербрук и Тараненко также обратились в Компьютерную группу реагирования на чрезвычайные ситуации (CERT) при Университете Карнеги-Меллон, который помогает исследователям безопасности выявлять уязвимости и дает рекомендации. Они подождали три месяца, которые обычно предоставляют компаниям для исправления недостатков до публичного оглашения, после чего в начале мая рассказали об уязвимости университетскому клубу кибербезопасности.
«Я просто не понимаю, как такая крупная компания допускает подобные ошибки, а затем не исправляет их. В худшем случае люди могут начать легко пополнять свои кошельки, и компания потеряет очень много денег. Почему бы не потратить минимум средств на создание одного почтового ящика для подобных ситуаций?» — говорит Тараненко.