Группа студентов из университета в Санта-Круз обнаружила уязвимость в системе управления стиральными машинами компании CSC, которая позволяла им запускать циклы стирки абсолютно бесплатно. Они также сумели увеличить счет для стирки на несколько миллионов долларов, что выглядело вполне естественно для этой операции. Однако поставщик не реагировал на их просьбы о исправлении этой проблемы. После того как CSC предоставила TechCrunch заявление с извинениями за отсутствие ответа ранее, она также выразила благодарность студентам за информирование о проблеме.
CSC ServiceWorks — это крупная компания, предоставляющая услуги прачечных и обладающая огромной сетью стиральных машин, расположенных в разных местах, таких как отели, университетские кампусы и жилые комплексы в США, Канаде и Европе. Студенты пытались сообщить о найденной ошибке в CSC ServiceWorks еще в январе, используя онлайн-форму обратной связи, но не получили ответа. Они также звонили в компанию, но и это не дало результата из-за отсутствия реакции со стороны CSC ServiceWorks.
Студенты также предоставили свои результаты Центру координации CERT при университете Карнеги-Меллон, который помогает исследователям безопасности выявлять проблемы в продуктах и предлагает рекомендации по исправлению. Студенты сейчас готовятся к дальнейшему раскрытию своих результатов после длительного ожидания, превышающего обычные три месяца, отведенные исследователям для устранения недочетов перед их публикацией.
После опубликования материала CSC выразила признательность студентам за их усилия. Вице-президент по маркетингу CSC, Стивен Гилберт, заявил: «Мы выражаем благодарность г-ну Шербруку и г-ну Тараненко за их вклад в обеспечение безопасности компании CSC ServiceWorks и заинтересованных сторон, и также приносим извинения за нашу несвоевременную реакцию». CSC сообщила, что сотрудничество с поставщиками помогло устранить проблему, и обещала обновить свой веб-сайт с формой обратной связи по безопасности.
Студенты сообщили о неисправности в API, используемом в мобильном приложении CSC Go, которое позволяет клиентам взаимодействовать с устройствами через Интернет. Они обнаружили, что сервера CSC подвержены манипуляциям, позволяющим изменять балансы и оплачивать услуги без наличия реальных средств на счете. Анализируя передачу данных между устройствами во время использования приложения CSC Go, студенты выяснили, что им удалось обойти систему безопасности приложения и напрямую отправлять инструкции на серверы компании CSC.
Компании, разрабатывающие технологические продукты, такие как CSC, несут ответственность за обеспечение должного уровня защиты и проведение необходимых проверок безопасности на своих серверах. В противном случае это можно сравнить с ситуацией, когда охранник в банке не интересует, имеется ли право на доступ к сейфу. Студенты-исследователи выяснили, что любой человек может создать учетную запись в приложении CSC Go и отправлять команды через API, так как серверы не проводят проверку адресов электронной почты новых пользователей. Для подтверждения этого они создали новую учетную запись CSC с выдуманным адресом. Получив прямой доступ к API и обратившись к опубликованному CSC списку команд для связи с их серверами, исследователи получили возможность удаленно взаимодействовать с «каждой стиральной машиной, подключенной к сети CSC ServiceWorks».
На практике бесплатная стирка имеет очевидные плюсы. Однако исследователи подчеркнули потенциальные опасности, связанные с интернет-подключением бытового оборудования и уязвимостью к атакам. Шербрук и Тараненко отметили, что им неизвестно, можно ли отправлять команды через API, обходя ограничения безопасности, которыми оснащены стиральные машины, чтобы предотвратить перегрев и пожары. Исследователи сообщили, что перед тем, как нажать на кнопку запуска, невозможно изменить параметры на передней панели стиральной машины, не перезагрузив ее.
После сообщения об обнаруженных проблемах CSC незаметно обнулила баланс счета исследователей на несколько миллионов долларов. Однако студенты утверждают, что пользователи могут по-прежнему «свободно» увеличить свой счет на любую сумму. Тараненко выразил разочарование тем, что CSC не признала свою ошибку. «Я просто не могу понять, как такая крупная компания пропускает такие ошибки, а затем не имеет способа связаться с ними, — сказал он. — В худшем случае люди могут легко пополнить свой кошелек и компания потеряет огромные деньги. Почему бы не потратить минимальное количество времени на создание единого электронного почтового ящика для подобных ситуаций?»
Ранее компания Microsoft устранила ошибку в системе безопасности, в результате которой внутренние файлы и учетные данные компании оказались в открытом доступе в Интернете. Исследователи безопасности Кан Йолери, Мурат Озфидан и Эгемен Кочисарли из компании SOCRadar, занимающейся кибербезопасностью и помогающей организациям находить слабые места в системе безопасности, обнаружили открытый и общедоступный сервер хранения данных, размещенный в облачном сервисе Microsoft Azure, на котором хранилась внутренняя информация, связанная с поисковой системой Microsoft Bing.