Santa Cruz’daki Kaliforniya Üniversitesi’nden (UCSC) iki öğrenci, CSC ServiceWorks çamaşır makinelerinde sınırsız ücretsiz çamaşır yıkama olanağı sağlayan bir güvenlik açığı keşfetti.
Öğrenciler Alexander Sherbrooke ve Iakov Taranenko, TechCrunch’a hatanın birisinin çamaşır makinelerine uzaktan komutlar göndermesine izin verdiğini açıkladı. Güvenlik açığı API’de CSC mobil uygulaması CSC Go tarafından kullanılır ve “güvenlik kontrolleri kullanıcının cihazındaki uygulama tarafından yapılır ve CSC sunucuları tarafından otomatik olarak güvenilir” olduğundan komutları kabul edecek şekilde kandırılabilir.
Kusur, Sherbrooke’un, hesabında 0 dolar olmasına rağmen makinenin bir döngüyü çalıştırması için talimatlar içeren bir kod komut dosyası çalıştırabilmesiyle keşfedildi. Onu çok şaşırtan bir şekilde, çamaşır makinesi birden parladı ve söz konusu müşteriyi yıkama işleminin başlaması için başlatma düğmesine basmaya yönlendirdi.
Ancak öğrenciler bununla yetinmedi. Daha sonra çamaşırhane hesaplarına, CSC Go mobil uygulamasının izin verdiği birkaç milyon dolar tutarında yüklü bir bakiye eklediler.
Sherbrooke ve Taranenko, güvenlik ve hataların bildirilmesine ayrılmış bir sayfası olmayan CSC ServiceWorks ile bu yılın Ocak ayında çevrimiçi iletişim formu aracılığıyla iletişime geçti ancak hiçbir yanıt alamadı. Şirketi aramak aynı tuğla duvara yol açtı.
Şimdi, aylar sonra, araştırmacıların genellikle satıcılara izin verdiği üç aydan daha uzun bir süre bekledikten sonra güvenlik açıklarını düzeltin dünyaya söylemeden önce, çift daha fazla ayrıntıya giriyor bulguları hakkında.
Dark Reading, yorum yapmak için CSC ServiceWorks’e ulaştı ancak henüz bir yanıt alamadı.
20 Mayıs’ta Sherbrooke ve Taranenko bir teklifte bulundular. Slug Security’ye blog yazısı TechCrunch ile yaptıkları röportajın “daha teknik bir devamı” olarak tanımlanan şeyde.
Öğrenciler, süreci doğru bir şekilde sürdürdüklerinden emin olmak istedikleri için hatayı bildirmek için bu kadar uzun süre beklediklerini söyledi.
“Milyon dolarlık bir şirketin, biz bunu bildirmediğimiz için bize dava açmasını istemiyoruz” dediler. UCSC öğrencileri, satıcıyla iletişim kurmak için Carnegie Mellon Üniversitesi’nin CERT Koordinasyon Merkezi’nden bile yardım aldı ancak satıcı “mesajı görüntülemek için CERT’in portalını bile ziyaret etmedi.”
Öğrenciler bulgularını rapor ettikten sonra CSC, multimilyon dolarlık hesap bakiyelerini sildi ancak güvenlik açıkları hala giderilmedi.
Taranenko, “En kötü senaryoda, insanlar cüzdanlarına kolaylıkla para yükleyebilir ve şirket bir ton para kaybeder” dedi. “Neden bu tür bir durum için izlenen tek bir güvenlik e-posta gelen kutusuna minimum düzeyde para harcamıyorsunuz?”