💳 Trustee Plus: розраховуйся криптою за допомогою платіжної картки. Ліміт: 50 000 євро 🚀

Два студента нашли эксплойт в огромной сети стиральных машин, расположенных в общежитиях и гостиницах. Уязвимость позволила пополнять счет на миллионы долларов

Студенты Университета Санта-Круз Александр Шербрук и Яков Тараненко рассказали, что обнаруженная ими уязвимость позволяет кому-либо удаленно отправлять команды стиральным машинам, работающим под управлением CSC, и бесплатно получать стирку белья. Они сообщали компанию об эксплойте, но там проигнорировали предупреждение.

Оставить комментарий
Два студента нашли эксплойт в огромной сети стиральных машин, расположенных в общежитиях и гостиницах. Уязвимость позволила пополнять счет на миллионы долларов

Студенты Университета Санта-Круз Александр Шербрук и Яков Тараненко рассказали, что обнаруженная ими уязвимость позволяет кому-либо удаленно отправлять команды стиральным машинам, работающим под управлением CSC, и бесплатно получать стирку белья. Они сообщали компанию об эксплойте, но там проигнорировали предупреждение.

Справка о CSC ServiceWorks

Это крупная компания по оказанию услуг стирки, имеющая сеть из более чем миллиона стиральных машин, установленных в гостиницах, университетских городках и жилых домах по всей территории США, Канады и Европы.

Об этом студенты рассказали изданию TechCrunch. По словам Шербрука, идея испытать защиту появилась в одно январское утро он сидел на полу своей подвальной прачечной с ноутбуком в руках.

Со своего ноутбука он запустил сценарий кода с инструкциями, которые предписывали стоящей перед ним машине начать цикл стирки, несмотря на то, что на счету прачечной было $0. Машина сразу проснулась с громким звуковым сигналом и на ее дисплее появилась надпись «PUSH START», указывая на то, что машина готова постирать бесплатную партию белья.

В противном случае студенты положили на один из своих счетов в прачечной вроде бы несколько миллионов долларов, что отразилось в их мобильном приложении CSC Go так, будто это была вполне нормальная сумма денег, которую студент может потратить на стирку.

Поскольку CSC ServiceWorks не имеет специальной страницы для сообщения об уязвимости, Шербрук и Тараненко направили компании несколько сообщений через онлайн-форму для контактов в январе, но не получили никакого ответа от компании. По их словам, телефонный звонок в компанию тоже ни к чему не привел.

Выждав более трех месяцев, которые исследователи безопасности обычно дают компаниям на устранение недостатков, прежде чем обнародовать их, студенты рассказали о своей находке. Они утверждают, что уязвимость заключается в API, используемом мобильным приложением CSC, CSC Go. API позволяет приложениям и устройствам общаться друг с другом через Интернет. В этом случае клиент открывает приложение CSC Go, чтобы пополнить свой счет, заплатить и начать загрузку белья на соседней машине.

Шербрук и Тараненко обнаружили, что серверы CSC можно обмануть, заставив их принимать команды, изменяющие остаток на счете, поскольку любые проверки безопасности осуществляются приложением на пользовательском устройстве и автоматически доверяются серверам CSC. Это позволяет им платить за стирку, не внося реальные средства на свои счета.

Проанализировав сетевой трафик при входе в систему и использовании приложения CSC Go, Шербрук и Тараненко обнаружили, что они могут обойти проверку безопасности приложения и отправлять команды непосредственно на серверы CSC, которые недоступны через приложение.

Исследователи заявили, что потенциально любой может создать учетную запись пользователя CSC Go и отправлять команды с помощью API, поскольку серверы также не проверяют, принадлежат ли новые пользователи их адресам электронной почты. Исследователи проверили это, создав новый аккаунт CSC с вымышленным адресом электронной почты.

Имея прямой доступ к API и ссылаясь на опубликованный список команд для связи с серверами CSC, исследователи утверждают, что можно удаленно определить местонахождение и взаимодействовать с «каждой стиральной машиной в сети CSC ServiceWorks, подключенной к сети».

После того как исследователи сообщили о своих находках, CSC незаметно уничтожила остаток на счету исследователей в несколько миллионов долларов, но исследователи заявили, что баг остается неисправленным.

«Я просто не понимаю, как такая крупная компания допускает такие ошибки, а потом нет возможности связаться с ними. В самом худшем случае люди могут легко пополнить свои кошельки, а компания потеряет кучу денег. Почему бы не потратить минимум средств на создание единого контролируемого почтового ящика для подобных ситуаций?», — сказал Тараненко.

Напомним, что ранее ужгородский горрайонный суд Закарпатской области вынес приговор украинцу, который нашел способ обмануть банкомат. Благодаря эксплойту банк зачислял деньги на его счет, а банкомат возвращал внесенные средства наличными.

Читайте главные IT-новости страны в нашем Telegram
Читайте главные IT-новости страны в нашем Telegram
По теме
Читайте главные IT-новости страны в нашем Telegram
Ужгородец воспользовался эксплойтом банкомата, благодаря которому пополнил свои карты на 90 000 грн не тратя наличные. Какое наказание ему назначил суд
Ужгородец воспользовался эксплойтом банкомата, благодаря которому пополнил свои карты на 90 000 грн, не тратя наличные деньги. Какое наказание ему назначил суд
По теме
Ужгородец воспользовался эксплойтом банкомата, благодаря которому пополнил свои карты на 90 000 грн, не тратя наличные деньги. Какое наказание ему назначил суд
В СБУ заявили, что нашли в программных РРО ряд уязвимостей, которые угрожают уплате налогов в госбюджет
В СБУ заявили, что нашли в программных РРО ряд уязвимостей, угрожающих уплате налогов в госбюджет
По теме
В СБУ заявили, что нашли в программных РРО ряд уязвимостей, угрожающих уплате налогов в госбюджет
В военных чатах и ​​в сети сообщали, что Signal имеет уязвимость. Мессенджер опровергает эту информацию
В военных чатах и ​​сети сообщали, что Signal имеет уязвимость. Мессенджер опровергает эту информацию
По теме
В военных чатах и ​​сети сообщали, что Signal имеет уязвимость. Мессенджер опровергает эту информацию
Читайте также
Русская группировка хакеров выпустила фейковое приложение от имени полка «Азов»
Русская группировка хакеров выпустила фейковое приложение от имени полка «Азов»
Русская группировка хакеров выпустила фейковое приложение от имени полка «Азов»
«Если наши хакеры соберутся, чтобы дать им люлей, то, возможно, у них получится». Готова ли Украина отражать новые удары и наносить их в ответ. Интервью
«Если наши хакеры соберутся, чтобы дать им люлей, то, возможно, у них получится». Готова ли Украина отражать новые удары и наносить их в ответ. Интервью
«Если наши хакеры соберутся, чтобы дать им люлей, то, возможно, у них получится». Готова ли Украина отражать новые удары и наносить их в ответ. Интервью
В прошлом месяце, когда политики и эксперты только обсуждали возможность физического вторжения РФ на территорию Украины, гибридная война уже началась.
Киберцентр сообщает, что хакеры рассылали письма от имени АМПУ о заходе суден в Крым
Киберцентр сообщает, что хакеры рассылали письма от имени АМПУ о заходе суден в Крым
Киберцентр сообщает, что хакеры рассылали письма от имени АМПУ о заходе суден в Крым
В сеть слили 900 гигабайт данных Минрегиона — СМИ
В сеть слили 900 гигабайт данных Минрегиона — СМИ
В сеть слили 900 гигабайт данных Минрегиона — СМИ

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментариев пока нет.