Comments 12
Вроде про что-то незаконное и про отмывание, но есть нюанс
"Мистер судья, мы совершенно случайно пришли в прачечную с ноутбуком".
Система наверняка слеплена на коленке на заказ, компания вероятно даже не имеет ресурсов как то ее пофиксить своими силами, и вообще кто ее делал давно ушли в туман
Восстание машин!
Стиральных.
Хакер и солонка же.
С грустью вспоминаю времена, когда можно было спокойно гулять по платформам электричек, забредя туда просто так.
ни то ни другое. тут все напрямую связано с деньгами, профиты и убытки могут быть очень явными
Я каждый раз при посещении жд вокзалов в более-менее крупных городах вспоминаю, что раньше можно было пройти прямо с платформы в вокзал, с автобуса по кратчайшему пути прямо на платформу, из метро в зал ожидания... теперь везде всё перекрыто, "граждане, пройдите в накопитель".
Исправление этих уязвимостей обойдется по деньгам дороже, чем убытки от 2,5 хакеров, обстирывающихся бесплатно.
Вот если они свой скрипт опубликуют в виде приложения с полями "введите данные аккаунт" и кнопкой "увеличить баланс", чтобы дыру могли использовать обычные пользователи, тогда компания начнет что-то делать.
На самом деле ситуация довольно опасная для компании. Если есть доступ ко всем машинами, что помешает кому-то для прикола (или с целью навредить) выставить режим стирки во всех машинах на 90 градусов? Думаю клиенты с цветным бельём не обрадуются
И обсуждаются опять вопросы что тут хакеры виноваты а не идиотский дизайн. С другой стороны - может бизнес-модель тупо учитывает риски а такое вот решение - уменьшает сложности для пользователя (правда вот если это реально так намеренно сделано - почему было хакерам не сказать что да, спасибо, мы все и так учли в экономической модели, а не игнорить тупо - ну и факт что с миллионом прошло - тоже странно)
Ждем параноидную реакцию на тему все срочно переделать, добавить поддержку Play Integrity API (которая будет фейлится конечно же или не работать на некоторых/многих дешевых устройствах а также "не совсем телефонах" - вроде Onyx Boox Kant/Palma, Hisense A7CC и на всей продукции Huawei), защиту от перехвата трафика(которая убирается модулем Magisk'а - если уж кто-то решил помониторить - подправят и модуль), обязательный пароль (и требования к нему), проверку e-mail'а тщательную (анонимусы не пройдут! даже если они штатный функционал iOS используют - который hide my email)... и как все это будет глючить.
Почему у bybit не такое дырявое API ?? Вообще, странно, что компания его сама выложила в свободный доступ, практически, преподнеся на блюдечке этим "хакерам" весь инструментарий. Для обывателя, конечно, звучит круто: "Студенты калифорнийского университета взломали сеть прачечных...", но, по факту, и те, и те бараны. Одни безответственно сделали дырявый сервис, вторые в поисках славы и работы пытаются выжать по максимуму из этой случайности.
P.S. Было бы интереснее, если бы студенты, хотя бы, перехватили http запросы от приложения к серверу.
Это не баг, это фича - если ты достаточно умный, но достаточно бедный, можешь стирать бесплатно
Студенты нашли в работе мобильного сервиса прачечных CSC ServiceWorks баг, который позволяет бесплатно стирать вещи