Двое студентов Калифорнийского университета в Санта-Крузе нашли в системе безопасности стиральных машин уязвимости, которые позволяют бесплатно стирать белье.
Об этом рассказанный TechCrunch.
Двое студентов, Александр Шербрук и Яков Тараненко, использовали API, чтобы удаленно управлять стиральными машинами компании CSC ServiceWorks.
CSC ServiceWorks — довольно крупная компания. Имеет более миллиона прачечных и торговых автоматов, которые работают в колледжах, многоквартирных домах, прачечных и т. Д. В США, Канаде и Европе.
Студенты предупредили компанию об уязвимости еще в январе. Но CSC ServiceWorks просто тихо уничтожила их фальшивые миллионы.
Именно отсутствие ответа побудило их рассказать другим об этих уязвимостях.
Уязвимость кроется в API, который используется мобильным приложением CSC Go. Шербрук и Тараненко обнаружили, что серверы CSC можно обманом заставить принять команды, которые изменяют баланс их счетов, поскольку любые проверки безопасности выполняются программой на устройстве пользователя и автоматически доверяются серверам CSC.
Также есть доступный список команд, который позволяет подключаться ко всем стиральным машинам онлайн.