Уязвимость в системе прачечных CSC ServiceWorks вызвала много вопросов к службе безопасности компании.
Студенты Калифорнийского университета в Санта-Крузе Александр Шербрук и Яков Тараненко выявили опасную уязвимость в системе оплаты прачечных компании CSC ServiceWorks, которая позволяет любому использовать машины бесплатно. Несмотря на неоднократные обращения студентов к компании, проблема до сих пор не устранена. Об этом сообщило издание TechCrunch, которому студенты рассказали о ситуации.
В январе Шербрук сидел на полу в прачечной с ноутбуком, когда внезапно осознал масштаб проблемы. Он запустил скрипт, который дал команду машине начать стирку, хотя на его счету было $0. Машина сразу же среагировала, издав громкий сигнал и отобразив свою готовность к стирке (осталось только нажать на «СТАРТ»). В другом случае студенты добавили несколько миллионов долларов на один из своих счетов в мобильном приложении CSC Go.
Компания CSC ServiceWorks управляет более миллионом прачечных в отелях, университетах и жилых комплексах по всему миру. Однако у компании нет выделенной страницы для сообщений об уязвимостях, и студенты отправляли сообщения через форму обратной связи на сайте. Они также звонили в компанию, но все попытки связаться с CSC оказались безрезультатными.
Студенты передали свои находки в Центр координации CERT в Университете Карнеги-Меллона, который помогает исследователям сообщать о уязвимостях и предлагает решения. Однако прошло уже больше 3 месяцев, и проблема остается нерешенной. Исследования были представлены на встрече университетского клуба по кибербезопасности в начале мая.
Также отмечается, что у компании есть опубликованный список команд, который позволяет подключаться ко всем подключенным к сети стиральным машинам CSC.
Неясно, кто отвечает за кибербезопасность в CSC, и представители компании не ответили на запросы TechCrunch. Уязвимость связана с API мобильного приложения CSC Go, которое позволяет пользователям пополнять счета и запускать стирку. Студенты обнаружили, что серверы CSC можно обмануть, отправив команды, изменяющие баланс счета, потому что проверки безопасности проводятся на устройстве пользователя, а не на сервере.
Проанализировав сетевой трафик, студенты смогли обойти проверки безопасности приложения и отправить команды непосредственно на серверы CSC, что позволило запустить стирку, не пополняя свой счет реальными деньгами. Кроме того, серверы CSC не проверяют, принадлежит ли новая учетная запись реальному человеку, что позволяет создавать поддельные аккаунты.
Исследователи предупреждают, что такая уязвимость может привести к серьезным последствиям, особенно если злоумышленники получат доступ к тяжелому оборудованию, подключенному к интернету. Хотя для начала цикла стирки нужно физически нажать кнопку на машине, настройки можно сбросить.
После сообщения об уязвимости компания CSC аннулировала баланс счетов студентов, но саму проблему не устранила. Тараненко выразил разочарование тем, что компания проигнорировала их предупреждения.
«Меня удивляет, как такая большая компания допускает такие ошибки и не имеет способа для связи по вопросам безопасности. В худшем случае люди смогут пополнять свои счета на большие суммы, и компания потеряет много денег. Почему бы не создать хотя бы один почтовый ящик для таких сообщений?», - заявил Тараненко.
Студенты заявили, что, несмотря на отсутствие реакции со стороны CSC, они не теряют энтузиазма и готовы ждать ответа службы поддержки.
От классики до авангарда — наука во всех жанрах