Серьёзная уязвимость в системе безопасности разработчика CSC ServiceWorks позволяет всем заинтересованным пользователям совершенно бесплатно стирать свои вещи в общественных прачечных. Об обнаружении соответствующего бага сообщили студенты Калифорнийского университета города Санта-Круз, которые нашли ошибку в программном обеспечении и сразу же проинформировали о ней разработчиков. Но компания CSC ServiceWorks никак не отреагировала на их письмо.
Энтузиасты Александр Шербрук и Яков Тараненко воспользовались API приложения для управления прачечной, чтобы дистанционно отсылать команды стиральным машинам, находящимся под управлением софта CSC ServiceWorks, и бесплатно запускать процесс стирки. Несмотря на то, что на их балансе в личном кабинете не было денежных средств, устройства сразу же запускались после получения соответствующей команды.
В рамках другого кейса те же студенты проэксплуатировали уязвимость, чтобы зачислить на свой счёт в прачечной несколько миллионов долларов.
Студенты также выяснили, что серверы CSC ServiceWorks можно заставить принимать команды, меняющие баланс счёта. Подобный подход позволяет платить за стирку, не тратя при этом реальных денежных средств.
CSC ServiceWorks — крупная профильная компания, предоставляющая услуги прачечных на территории США, Европы и Канады. Чаще всего подобные помещения располагаются в университетских кампусах и многоквартирных жилых домах. В общей сложности, как отмечают на официальном сайте компании, в их распоряжении имеется около 1 млн стиральных машин. Об обнаруженной уязвимости студенты написали на электронную почту компании CSC, но с января 2024 им ничего не ответили.
Вместо этого компания «незаметно списала фальшивые миллионы долларов со счёта», оставив уязвимость, заявили студенты во время общения с журналистами TechCrunch. После этого молодые исследователи решили рассказать об этой истории, выступив с соответствующим докладом во время университетской конференции по информационной безопасности.
Перед тем как журналисты издания TechCrunch выпустили свой материал по этой теме, они также запросили в компании CSC ServiceWorks комментарии по этому поводу, но в ответ ничего не получили.
Ещё по теме:
- Omega Knockout – аркадный бокс в стиле ретро, который вызывает ностальгические чувства
- iPhone пора переименовать, считает автор приставки «i» для большинства продуктов компании
- Apple хочет заполучить все 2-нм чипы от TSMC, поэтому тайно послала Джеффа Уильямса на Тайвань