👁️👁️ 300 000 криптанів встановили собі Trustee Plus - гаманець з криптокарткою. Чого чекаєш ти? 👉

Два студенти знайшли експлойт у величезній мережі пральних машин, розташованих в гуртожитках та готелях. Вразливість дозволила поповнювати рахунок на мільйони доларів

Студенти Університету Санта-Круз Александр Шербрук та Яков Тараненко розповіли, що виявлена ними вразливість дає змогу будь-кому віддалено надсилати команди пральним машинам, що працюють під управлінням CSC, і безплатно отримувати прання білизни. Вони повідомляли компанію про експлойт, але там проігнорували попередження.

Залишити коментар
Два студенти знайшли експлойт у величезній мережі пральних машин, розташованих в гуртожитках та готелях. Вразливість дозволила поповнювати рахунок на мільйони доларів

Студенти Університету Санта-Круз Александр Шербрук та Яков Тараненко розповіли, що виявлена ними вразливість дає змогу будь-кому віддалено надсилати команди пральним машинам, що працюють під управлінням CSC, і безплатно отримувати прання білизни. Вони повідомляли компанію про експлойт, але там проігнорували попередження.

Довідка про CSC ServiceWorks 

Це велика компанія з надання послуг прання, що має мережу з понад мільйона пральних машин, встановлених у готелях, університетських містечках і житлових будинках по всій території США, Канади та Європи.

Про це студенти розповіли виданню TechCrunch. За словами Шербрука, ідея випробувати захист з’явилася одного січневого ранку він сидів на підлозі своєї підвальної пральні з ноутбуком у руках.

Зі свого ноутбука він запустив сценарій коду з інструкціями, що наказували машині, яка стояла перед ним, розпочати цикл прання, попри те, що на рахунку пральні було $0. Машина одразу ж прокинулася з гучним звуковим сигналом і на її дисплеї з’явився напис «PUSH START», вказуючи на те, що машина готова випрати безплатну партію білизни.

В іншому випадку студенти поклали на один зі своїх рахунків у пральні начебто кілька мільйонів доларів, що відобразилося в їхньому мобільному додатку CSC Go так, ніби це була цілком нормальна сума грошей, яку студент може витратити на прання.

Оскільки CSC ServiceWorks не має спеціальної сторінки для повідомлення про вразливості, Шербрук і Тараненко надіслали компанії кілька повідомлень через онлайн-форму для контактів у січні, але не отримали жодної відповіді від компанії. За їхніми словами, телефонний дзвінок до компанії також ні до чого не привів. 

Вичекавши понад три місяці, які дослідники безпеки зазвичай дають компаніям на виправлення недоліків, перш ніж оприлюднювати їх, студенти розповіли про свою знахідку. Вони стверджують, що вразливість полягає в API, який використовується мобільним додатком CSC, CSC Go. API дозволяє додаткам і пристроям спілкуватися один з одним через інтернет. У цьому випадку клієнт відкриває додаток CSC Go, щоб поповнити свій рахунок, заплатити й почати завантаження білизни на сусідній машині.

Шербрук і Тараненко виявили, що сервери CSC можна обдурити, змусивши їх приймати команди, які змінюють залишок на рахунку, оскільки будь-які перевірки безпеки здійснюються додатком на пристрої користувача й автоматично довіряються серверам CSC. Це дозволяє їм платити за прання, не вносячи реальних коштів на свої рахунки. 

Проаналізувавши мережевий трафік під час входу в систему та використання додатка CSC Go, Шербрук і Тараненко виявили, що вони можуть обійти перевірку безпеки додатка і надсилати команди безпосередньо на сервери CSC, які недоступні через сам додаток. 

Дослідники заявили, що потенційно будь-хто може створити обліковий запис користувача CSC Go і надсилати команди за допомогою API, оскільки сервери також не перевіряють, чи належать нові користувачі їхнім адресам електронної пошти. Дослідники перевірили це, створивши новий обліковий запис CSC з вигаданою адресою електронної пошти.

Маючи прямий доступ до API та посилаючись на власний опублікований список команд для зв’язку з серверами CSC, дослідники стверджують, що можна віддалено визначити місцеперебування та взаємодіяти з «кожною пральною машиною в мережі CSC ServiceWorks, підключеною до мережі». 

Після того, як дослідники повідомили про свої знахідки, CSC непомітно знищила залишок на рахунку дослідників у кілька мільйонів доларів, але дослідники заявили, що баг залишається невиправленим.

«Я просто не розумію, як така велика компанія допускає такі помилки, а потім не має можливості зв’язатися з ними. У найгіршому випадку люди можуть легко поповнити свої гаманці, а компанія втратить купу грошей. Чому б не витратити мінімум коштів на створення єдиної контрольованої поштової скриньки для подібних ситуацій?», — сказав Тараненко.

Нагадаємо, що раніше ужгородський міськрайонний суд Закарпатської області виніс вирок українцю, який знайшов спосіб обдурити банкомат. Завдяки експлойту, банк зараховував гроші на його рахунок, а банкомат повертав внесені кошти готівкою.

Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram
Ужгородець скористався експлойтом банкомата завдяки якому поповнив свої картки на 90 000 грн не витрачаючи готівку. Яке покарання йому призначив суд
Ужгородець скористався експлойтом банкомата, завдяки якому поповнив свої картки на 90 000 грн, не витрачаючи готівку. Яке покарання йому призначив суд
По темi
Ужгородець скористався експлойтом банкомата, завдяки якому поповнив свої картки на 90 000 грн, не витрачаючи готівку. Яке покарання йому призначив суд
У СБУ заявили що знайшли в програмних РРО низку вразливостей які загрожують сплаті податків до держбюджету
У СБУ заявили, що знайшли в програмних РРО низку вразливостей, які загрожують сплаті податків до держбюджету
По темi
У СБУ заявили, що знайшли в програмних РРО низку вразливостей, які загрожують сплаті податків до держбюджету
У військових чатах і в мережі повідомляли що Signal має вразливість. Месенджер спростовує цю інформацію
У військових чатах і в мережі повідомляли, що Signal має вразливість. Месенджер спростовує цю інформацію
По темi
У військових чатах і в мережі повідомляли, що Signal має вразливість. Месенджер спростовує цю інформацію
Читайте також
«Фактично ми відкотилися на 3 роки». Засновник EasyPay про те, яку ціну заплатив український платіжний сервіс, щоб вижити
«Фактично ми відкотилися на 3 роки». Засновник EasyPay про те, яку ціну заплатив український платіжний сервіс, щоб вижити
«Фактично ми відкотилися на 3 роки». Засновник EasyPay про те, яку ціну заплатив український платіжний сервіс, щоб вижити
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
Видання Financial Times опублікувало статтю про роботу українських хакерів у війні проти рф, засновану на розмові з українським білим хакером Микитою Книшем. Він, як і сотні інших хакерів, допомагає боротися із російськими загарбниками в кіберпросторі. Наводимо адаптований переклад матеріалу. 
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Що, юний хакер, тобі цікаво, які ігри ще досі не крякнули? Тоді мерщій читай цю статтю. Нижче ми розглянемо, які технології використовуються для захисту ігор від злому. Також не пройдемо повз рекордсменів. Дізнаємося про рекордний час, за який вдалося зламати гру. Та розглянемо справжніх «міцних горішків».
1 коментар
Помилка Coinbase. Грузинські користувачі обміняли ларі на долари за курсом, який у 100 разів перевищує офіційний
Помилка Coinbase. Грузинські користувачі обміняли ларі на долари за курсом, який у 100 разів перевищує офіційний
Помилка Coinbase. Грузинські користувачі обміняли ларі на долари за курсом, який у 100 разів перевищує офіційний

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.