İki UC Santa Cruz öğrencisi, CSC ServiceWorks çamaşır makinelerinde büyük bir güvenlik açığı buldu.
Dünya çapında evlerde, otellerde ve kolejlerde bulunan bir milyondan fazla internet bağlantılı çamaşır makinesi, insanların bunları ücretsiz olarak çalıştırmasına olanak tanıyan hatadan etkileniyor.
Bunu keşfeden öğrenciler Alexander Sherbrooke ve Iakov Taranenko, bunu bu yılın başlarında bildirdiler. CSC ServiceWorks, tüm girişimlerine rağmen güvenlik açığını gidermedi ve sistemi savunmasız bıraktı.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
Bodrumda ‘Eureka’ Anı
Bu bulgu, Sherbrooke’un bodrum katındaki çamaşır odasında dizüstü bilgisayarıyla oturduğu Ocak ayı başlarında meydana geldi.
Bir senaryoyu çalıştırarak finansmanı olmayan bir çamaşır yıkama döngüsü başlattı.
Makine anında yanıt verdi ve bedava bir çamaşır yıkamaya hazır oldu.
Öğrenciler, CSC Go mobil uygulamasında normal görünen, çamaşırhane hesaplarından birine birkaç milyon dolarlık kurgusal bir bakiye kurarak zayıflığı gösterdiler.
Techcrunch bulgularına göre bu keşif, CSC’nin mobil uygulamasının API’sinde, uygulamaların ve cihazların çevrimiçi iletişim kurmasına olanak tanıyan ciddi bir kusuru ortaya çıkarıyor.
CSC ServiceWorks’ten Yanıt Eksikliği
Birkaç telefon görüşmesi ve çevrimiçi iletişim formu mesajlarından sonra CSC, çocukların şikayetlerini görmezden geldi.
Ayrıca satıcıların güvenlik sorunlarını bildirmelerine yardımcı olan Carnegie Mellon Üniversitesi’nin CERT Koordinasyon Merkezi ile de temasa geçtiler.
Öğrenciler, CSC’nin sorunu çözeceğini düşünerek bulgularını yayınlamak için üç aydan fazla beklediler.
Yamasız güvenlik açığı devam ediyor. Bu ay araştırmacılar bulgularını üniversitelerinin siber güvenlik kulübünde sundular ve ağır cihazların internete bağlanmasının risklerini ve saldırılara karşı savunmasızlığını vurguladılar.
Sherbrooke ve Taranenko, CSC gibi teknoloji tedarikçilerinin güvenlik kontrolleri yapması gerektiğini söyledi.
Kullanıcının cep telefonundaki uygulama, CSC sunucularının otomatik olarak güvendiği güvenlik kontrolleri gerçekleştirir; bu nedenle, CSC sunucularını hesap bakiyesi değişikliklerini onaylama konusunda yanıltabileceklerini buldular.
Gelecekteki riskler ve etkileri
Araştırmacılara göre bu güvenlik açığı, güvenlik sınırlamalarının göz ardı edilmesi halinde aşırı ısınmaya ve yangınlara yol açabilir.
Ayarlar uzaktan değiştirilebilmesine rağmen, bir döngüyü başlatmak için çamaşır makinesinin başlatma düğmesine basılmalıdır.
CSC ServiceWorks, araştırmacıların bulgularını bildirdikten sonra sahte hesap bakiyesini gizlice sildiği için kusur düzeltilmeden kaldı.
Taranenko, büyük bir kuruluşun nasıl bu tür hatalar yapabildiğini ve güvenlik risklerini bildirecek bir araç sunmadığını merak etti.
Öğrenciler sessizliğe rağmen araştırmalarına devam ediyor.
Taranenko, güvenlik kaygıları olan firmalara yardım teklif ederek gerçek dünya güvenlik araştırmalarının önemini vurguladı.
Güvenlik açığı açık kaldığı için araştırmacılar, CSC ServiceWorks’ün sistemlerini korumak ve istismarı önlemek için derhal harekete geçeceğini umuyor.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers