Tömeges ingyenmosást biztosított egy programhiba

Két Kaliforniai Egyetem diákja fedezett fel egy súlyos biztonsági rést a CSC ServiceWorks mosodai rendszerében, amely lehetővé teszi az internetre csatlakoztatott mosógépek ingyenes használatát.

A Kaliforniai Egyetem két hallgatója, Alexander Sherbrooke és Iakov Taranenko egy olyan biztonsági hibát talált a CSC ServiceWorks rendszerében, amely több mint egymillió mosodai mosógépet üzemeltet világszerte. A hiba kihasználásával a mosógépek ingyen használhatók, ami jelentős veszteséget okozhat a vállalatnak. A diákok a TechCrunch beszámolója szerint jelentették a hibát a cégnek, de a CSC ServiceWorks nem hajtotta végre a javításokat.

Sherbrooke már januárban észrevette, hogy egy szkript segítségével a mosógépek rávehetők a mosási programok pénz nélküli elvégzésére. Egy másik esetben a diákok több millió dolláros kamu egyenleget adtak hozzá a felhasználói fiókjukhoz a CSC Go mobilalkalmazásban, amelyet a rendszer érvényesnek fogadott el.

A biztonsági rés jelentése nem volt egyszerű, mivel a CSC ServiceWorks weboldalán nincs külön menüpont erre a célra. A diákok először a honlapon keresztül, majd telefonon próbálták elérni a céget, mindkét módszer sikertelen volt. Végül három hónap várakozás után döntöttek úgy, hogy nyilvánosságra hozzák a problémát.

A kutató hallgatók szerint a sérülékenység a CSC Go mobilalkalmazás API-jában rejlik, amely lehetővé teszi az alkalmazások és eszközök közötti kommunikációt az interneten keresztül. A cég szerverei manipulálhatók olyan kód futtatására, amely módosítja a felhasználók egyenlegét, mivel a biztonsági ellenőrzés a mobilon történik.

A kiberbiztonsági szakemberek szerint az alkalmazásban bárki létrehozhat fiókot egy kitalált e-mail címmel, és a szerverek nem ellenőrzik az e-mail cím valódiságát. Nem ismert, hogy a mosógépek túlhajthatók-e az alkalmazáson keresztül küldött parancsokkal, de a biztonsági rés veszélyességét ez a példa is jól szemlélteti.

A CSC ServiceWorks időközben törölte a több millió dolláros egyenleget, de a másik biztonsági hibát még nem javították ki.

Tömeges ingyenmosást biztosított egy programhiba

Forrás cikkek

Tech: Két egyetemista rájött egy olyan programhibára, ami miatt bárki ingyen használhatja a mosodákat – és még csak nem is ez a legdurvább az egészben | hvg.hu

AI friss hírek

Milák Kristóf remek formában, magabiztosan jutott a döntőbe

Lukasenko kegyelmet adott a halálra ítélt német ápolónak

Oroszország újra engedélyezné a kriptovalutákat és észak-koreai fegyvereket használhat

Schobert Norbi és Rácz Jenő barátságának titkai és Schobert Lara tervei

Benzinkrízis fenyeget az EU-ban a Lukoil-ügy miatt