Два студента-исследователя Калифорнийского университета в Санта-Крузе Александр Шербрук и Яков Тараненко обнаружили в работе мобильного сервиса CSC GO Laundry сети прачечных CSC ServiceWorks уязвимость, которая позволяет неограниченное количество раз бесплатно пользоваться стиральными машинами.
Пользователи, желающие воспользоваться услугами стирки, должны установить на свой смартфон приложение CSC Go, пополнить баланс, и только тогда они смогут запустить цикл стирки на стиральной машине CSC ServiceWork. Эта компания уже более 90 лет предлагает сервис стирки в жилых домах, отелях и кампусах колледжей в США, Канаде и Европе.
Всё началось в январе этого года, когда Шербрук рано утром сидел в прачечной в подвале со своим ноутбуком. Не имея средств на счету, он попытался запустить скрипт, который позволял стиральной машине удалённо активировать новый цикл стирки, и это сработало. Машина сразу же проснулась с громким звуковым сигналом и на дисплее появилось сообщение «НАЖМИТЕ СТАРТ», указывая на то, что машина готова к бесплатной стирке белья.
Кроме того, студенты смогли изменить с помощью скрипта баланс до миллиона долларов на один из своих аккаунтов в приложении CSC Mobile Go. Причём в системе не было никаких ограничений по этому балансу, как будто это совершенно нормальная сумма денег, которую студент может потратить на стирку.
По словам студентов, компания CSC ServiceWorks по-прежнему игнорирует существование этой уязвимости и отвергает запросы на необходимость её исправления. В начале января студенты пытались связаться с CSC ServiceWorks по нескольким каналам, например, отправив несколько сообщений через онлайн-форму обратной связи и сделав телефонный звонок, который остался без ответа.
Оказалось, что у CSC ServiceWorks нет специальной страницы на сайте, где можно было бы сообщать об уязвимостях безопасности. Хотя компания CSC ServiceWorks не ответила студентам-исследователям, она приняла во внимание инцидент и удалила миллионный баланс на счёте учётной записи, после того, как студенты сообщили о своей находке.
По данным исследователей, уязвимость до сих пор остается не исправленной, и они могут добавить любую сумму денег на свой баланс. Неизвестно, работает ли кто в CSC ServiceWorks над исправлением этой проблемы внутри самой компании.
По словам студентов, эта уязвимость существует в API, используемом мобильным приложением, который помогает устройствам и приложениям взаимодействовать друг с другом через интернет. Они обнаружили, что могут отправлять нужные команды (пополнение баланса, активация стиральной машины) через скрипт непосредственно на серверы CSC, обходя проверки системы безопасности мобильного приложения.
Исследователи заявили, что потенциально любой человек может создать учетную запись пользователя CSC Go и отправлять команды с помощью API, поскольку серверы также не проверяют, принадлежат ли новые пользователи своим адресам электронной почты. Студенты проверили это, создав новую учетную запись CSC с вымышленным адресом электронной почты.
Студенты-исследователи рассказали СМИ, что эта уязвимость позволяет взаимодействовать практически с «каждой стиральной машиной в сети, подключенной к CSC ServiceWorks», используя прямой доступ к API и общедоступный список серверных команд, опубликованный ранее компанией в открытом доступе.
Исследователи безопасности обычно ждут три месяца, прежде чем обнародовать свои находки по уязвимостям. Студенты рассказали, что они ждали больше, но компания им не ответила. Студенты передали отчёт по инциденту в Координационный центр CERT при Университете Карнеги-Меллона, который предоставляет рекомендации и помогает исследователям безопасности передавать данные по багам и раскрывать уязвимости в рамках сотрудничества с отделами безопасности компаний, где была обнаружена проблема.
С практической точки зрения, бесплатная стирка имеет очевидный плюс. Но исследователи подчеркнули потенциальную опасность наличия мощной бытовой техники, подключенной к интернету и уязвимой для атак. Шербрук и Тараненко заявили, что им не известно, может ли отправка команд через API обойти ограничения безопасности, которыми оснащены современные стиральные машины для предотвращения перегрева и пожаров. Исследователи заявили, что кому-то придется физически нажать кнопку запуска стиральной машины, чтобы начать цикл; до тех пор настройки на передней панели стиральной машины нельзя будет изменить, если кто-то не перезагрузит машину.
Тараненко заявил СМИ, что разочарован тем, что CSC не признала их уязвимость. «Я просто не понимаю, как такая крупная компания допускает подобные ошибки, а затем не имеет возможности с ними связаться. В худшем случае люди могут легко пополнить свои кошельки, а компания потеряет кучу денег. Почему бы не потратить минимум на один контролируемый почтовый ящик электронной почты для такого рода ситуаций», — рассказа СМИ студент.
Но исследователей не пугает отсутствие ответа от CSC. «Поскольку мы делаем это добросовестно, я не против потратить несколько часов на ожидание звонка в службу поддержки, если это поможет компании решить проблемы безопасности», — сказал Тараненко, добавив, что ему и далее будет интересно получить возможность проводить такого рода исследования безопасности в реальном мире, а не только в симуляторах.
