Автор: Анастасія Печенюк
Студенти Каліфорнійського університету знайшли суттєву вразливість у системі постачальника пральних машин у житлові будинки та університети. Проблема дозволяла мільйонам користувачів не платити за прання.
CSC ServiceWorks — це велика компанія, що обслуговує пральні, встановлені у готелях, помешканнях та університетських містечках у Сполучених Штатах Америки, Канаді та Європі. Її мережа охоплює понад 1 мільйон пральних машин. Утім ця система, як з’ясували двоє студентів Каліфорнійського університету Олександр Шербрук і Яков Тараненко, має суттєву вразливість, яка дозволяє будь-кому віддалено надсилати команди до пральних машин, якими керує CSC, і безплатно керувати циклами прання.
Відео дня
Як пише TechCrunch, Шербрук зміг запустити сценарій коду з інструкціями, які повідомляли машині почати цикл, попри те, що на його рахунку в пральні було 0 доларів. В іншому випадку студенти змогли створити уявний баланс у кілька мільйонів доларів на один зі своїх рахунків в пральні, і система на це не зреагувала.
Студенти-дослідники сказали, що вразливість криється в API, який використовується мобільним застосунком CSC Go. Шербрук і Тараненко виявили, що сервери CSC можна обманом змусити прийняти команди, які змінюють баланс їхніх рахунків, оскільки будь-які перевірки безпеки виконуються програмою на пристрої користувача та автоматично довіряються серверам CSC.
Оскільки CSC ServiceWorks не має спеціальної сторінки безпеки для повідомлення про вразливості безпеки, Шербрук і Тараненко надіслали компанії кілька повідомлень через її онлайн-форму для зв’язку, але відповіді так і не отримали. Студенти також надіслали свої висновки до Координаційного центру CERT в Університеті Карнегі-Меллона, який допомагає дослідникам безпеки розкривати недоліки систем постачальникам, яких це стосується, і надавати рекомендації щодо їх виправлення.
Компанія публічно не прокоментувала повідомлення про виявлену помилку. Водночас баланс рахунку дослідників у кілька мільйонів доларів CSC тихо видалила після того, як отримала повідомлення про проблему. Саму помилку, за словами дослідників, досі не виправлено.
Читати далі
