Studentët zhbllokojnë shërbimin e pakufizuar të larjes së rrobave pasi zbulojnë një defekt

foto

Dy studiues studentë të UC Santa Cruz, Alexander Sherbrooke dhe Iakov Taranenko, gjetën një të metë sigurie që i vë mbi një milion makina lavanderi të operuara nga CSC ServiceWorks në rrezik të dhënies së cikleve falas të rrobave, raporton TechCrunch.

foto

Në mënyrë tipike, njerëzit që duan të përdorin shërbimet e kompanisë instalojnë aplikacionin e saj CSC Go në telefonin e tyre, ngarkojnë balancën dhe fillojnë një cikël lavanderi në një makinë aty pranë. Kushdo me njohuritë e kërkuara mund të shfrytëzojë defektin për të marrë rroba falas duke dërguar komanda në distancë në makineritë e lidhura me internetin e operuar nga kompania 90-vjeçare në rezidencat, hotelet dhe kampuset e kolegjeve në të gjithë SHBA-në, Kanadanë dhe Evropën.

foto

Gjithçka filloi në fillim të këtij viti në janar, kur Sherbrooke ishte ulur në dhomën e tij të lavanderi në bodrum me laptopin e tij gjatë orëve të para. Pa asnjë bilanc në llogarinë e tij, ai u përpoq të ekzekutonte një skrip kodi që urdhëron makinën përballë tij të kryejë një cikël lavanderi dhe funksionoi. Për më tepër, studentët ishin në gjendje të shtonin miliona dollarë në një nga llogaritë e tyre të lavanderisë, e cila u shfaq gjithashtu në aplikacionin CSC Mobile Go.

Sipas dyshes studentore, kompania mbetet injorante për ekzistencën e defektit dhe kërkon ta rregullojë atë. Ata u përpoqën të kontaktojnë me CSC ServiceWorks më herët në janar përmes kanaleve të shumta, të tilla si dërgimi i disa mesazheve përmes formës së kontaktit në internet dhe kryerja e një telefonate që mbeti pa përgjigje.

Kompania nuk ka një faqe të dedikuar sigurie për të raportuar dobësitë e sigurisë. Ndërsa nuk iu përgjigj studiuesve studentë, CSC ServiceWorks fshiu gjendjen masive të llogarisë pasi ata raportuan gjetjet e tyre.

Megjithatë, defekti mbetet i parregulluar dhe ata mund të shtojnë çdo shumë parash. Nuk dihet nëse kompania po punon për një rregullim të brendshëm.

Sipas dyshes, dobësia ekziston në një API të përdorur nga aplikacioni celular, i cili ndihmon pajisjet dhe aplikacionet të flasin me njëri-tjetrin përmes internetit. Ata zbuluan se mund të dërgonin komanda në serverët e CSC direkt, duke shmangur kontrollet e sigurisë së aplikacionit.

Studiuesit studentë i thanë publikimit se është e mundur të gjesh dhe të ndërveprosh me pothuajse “çdo makinë larëse në rrjetin e lidhur CSC ServiceWorks” duke shfrytëzuar aksesin e drejtpërdrejtë në API dhe një listë të disponueshme publikisht të komandave të serverit të publikuar nga kompania.

Studiuesit e sigurisë zakonisht presin tre muaj përpara se t’i bëjnë publike gjetjet e tyre. Dyshja studentore tha se ata pritën më shumë se kaq dhe i prezantuan gjetjet e tyre në klubin universitar të sigurisë kibernetike në fillim të këtij muaji. Ata gjithashtu ndanë gjetjet e tyre me Qendrën e Koordinimit CERT në Universitetin Carnegie Mellon, e cila ofron udhëzime dhe ndihmon studiuesit e sigurisë të zbulojnë dobësitë për shitësit.