Dos estudiantes de la Universidad de California en Santa Cruz han encontrado vulnerabilidades en el sistema de seguridad de las lavadoras que permiten lavar la ropa gratis.
Más o menos dijo TechCrunch.
Dos estudiantes, Oleksandr Sherbrooke y Yakov Taranenko, utilizaron la API para controlar a distancia lavadoras desde CSC ServiceWorks.
CSC ServiceWorks es una empresa bastante grande. Cuenta con más de un millón de lavanderías y máquinas expendedoras en funcionamiento en universidades, edificios de apartamentos, lavanderías, etc. de Estados Unidos, Canadá y Europa.
Los estudiantes advirtieron a la empresa de la vulnerabilidad en enero. Pero CSC ServiceWorks acaba de destruir discretamente sus millones falsos.
Fue la falta de respuesta lo que les impulsó a informar a otros sobre estas vulnerabilidades.
La vulnerabilidad reside en la API utilizada por la aplicación móvil CSC Go. Sherbrooke y Taranenko descubrieron que se podía engañar a los servidores de CSC para que aceptaran comandos que modificaran el saldo de sus cuentas, ya que cualquier comprobación de seguridad la realiza la app en el dispositivo del usuario y los servidores de CSC confían automáticamente en ella.
También hay una lista de comandos disponibles que le permite conectarse a todas las lavadoras en línea.