Студенти Університету Санта-Круз Александр Шербрук та Яков Тараненко розповіли, що виявлена ними вразливість дає змогу будь-кому віддалено надсилати команди пральним машинам, що працюють під управлінням CSC, і безплатно отримувати прання білизни. Вони повідомляли компанію про експлойт, але там проігнорували попередження.
Студенти Університету Санта-Круз Александр Шербрук та Яков Тараненко розповіли, що виявлена ними вразливість дає змогу будь-кому віддалено надсилати команди пральним машинам, що працюють під управлінням CSC, і безплатно отримувати прання білизни. Вони повідомляли компанію про експлойт, але там проігнорували попередження.
Це велика компанія з надання послуг прання, що має мережу з понад мільйона пральних машин, встановлених у готелях, університетських містечках і житлових будинках по всій території США, Канади та Європи.
Про це студенти розповіли виданню TechCrunch. За словами Шербрука, ідея випробувати захист з’явилася одного січневого ранку він сидів на підлозі своєї підвальної пральні з ноутбуком у руках.
Зі свого ноутбука він запустив сценарій коду з інструкціями, що наказували машині, яка стояла перед ним, розпочати цикл прання, попри те, що на рахунку пральні було $0. Машина одразу ж прокинулася з гучним звуковим сигналом і на її дисплеї з’явився напис «PUSH START», вказуючи на те, що машина готова випрати безплатну партію білизни.
В іншому випадку студенти поклали на один зі своїх рахунків у пральні начебто кілька мільйонів доларів, що відобразилося в їхньому мобільному додатку CSC Go так, ніби це була цілком нормальна сума грошей, яку студент може витратити на прання.
Оскільки CSC ServiceWorks не має спеціальної сторінки для повідомлення про вразливості, Шербрук і Тараненко надіслали компанії кілька повідомлень через онлайн-форму для контактів у січні, але не отримали жодної відповіді від компанії. За їхніми словами, телефонний дзвінок до компанії також ні до чого не привів.
Вичекавши понад три місяці, які дослідники безпеки зазвичай дають компаніям на виправлення недоліків, перш ніж оприлюднювати їх, студенти розповіли про свою знахідку. Вони стверджують, що вразливість полягає в API, який використовується мобільним додатком CSC, CSC Go. API дозволяє додаткам і пристроям спілкуватися один з одним через інтернет. У цьому випадку клієнт відкриває додаток CSC Go, щоб поповнити свій рахунок, заплатити й почати завантаження білизни на сусідній машині.
Шербрук і Тараненко виявили, що сервери CSC можна обдурити, змусивши їх приймати команди, які змінюють залишок на рахунку, оскільки будь-які перевірки безпеки здійснюються додатком на пристрої користувача й автоматично довіряються серверам CSC. Це дозволяє їм платити за прання, не вносячи реальних коштів на свої рахунки.
Проаналізувавши мережевий трафік під час входу в систему та використання додатка CSC Go, Шербрук і Тараненко виявили, що вони можуть обійти перевірку безпеки додатка і надсилати команди безпосередньо на сервери CSC, які недоступні через сам додаток.
Дослідники заявили, що потенційно будь-хто може створити обліковий запис користувача CSC Go і надсилати команди за допомогою API, оскільки сервери також не перевіряють, чи належать нові користувачі їхнім адресам електронної пошти. Дослідники перевірили це, створивши новий обліковий запис CSC з вигаданою адресою електронної пошти.
Маючи прямий доступ до API та посилаючись на власний опублікований список команд для зв’язку з серверами CSC, дослідники стверджують, що можна віддалено визначити місцеперебування та взаємодіяти з «кожною пральною машиною в мережі CSC ServiceWorks, підключеною до мережі».
Після того, як дослідники повідомили про свої знахідки, CSC непомітно знищила залишок на рахунку дослідників у кілька мільйонів доларів, але дослідники заявили, що баг залишається невиправленим.
«Я просто не розумію, як така велика компанія допускає такі помилки, а потім не має можливості зв’язатися з ними. У найгіршому випадку люди можуть легко поповнити свої гаманці, а компанія втратить купу грошей. Чому б не витратити мінімум коштів на створення єдиної контрольованої поштової скриньки для подібних ситуацій?», — сказав Тараненко.
Нагадаємо, що раніше ужгородський міськрайонний суд Закарпатської області виніс вирок українцю, який знайшов спосіб обдурити банкомат. Завдяки експлойту, банк зараховував гроші на його рахунок, а банкомат повертав внесені кошти готівкою.
