Двое студентов Калифорнийского университета в Санта-Крусе обнаружили уязвимость в системе безопасности, позволяющую любому не платить за стирку белья в сети прачечных. Они сообщили о баге владельцу стиралок CSC ServiceWorks, но там ничего не исправляют, сообщает TechCrunch.
Александр Шербрук работал в ноутбуке, пока сидел в прачечной, и запустил код, запустивший стиральную машину перед ним, хотя на его балансе не было денег. Обнаруженная им уязвимость позволяет любому удаленно отправлять команды стиральным машинам CSC и запускать стирку.
Позже к его экспериментам присоединился Яков Тараненко. По их словам, они «добавили» на свой счет несколько миллионов долларов, которых у них не было. Студенты решили сообщить компании об уязвимости через онлайн-заявку (другого способа нет), но ответа не получили.
Шербрук и Тараненко также отправили свою находку в Компьютерную группу реагирования на чрезвычайные ситуации (CERT) при Университете Карнеги-Меллон, который помогает исследователям безопасности раскрывать уязвимости, дает советы и рекомендации. Прождав больше положенных трех месяцев, которые обычно предоставляют компаниям для исправления недостатков до публичного оглашения, студенты рассказали об уязвимости CSC университетскому клубу кибербезопасности в начале мая.
Вскоре CSC незаметно удалила баланс в несколько миллионов долларов со счета студентов, но уязвимость так и не исправила. «Я просто не понимаю, как такая крупная компания допускает подобные ошибки, а затем не исправляет их. В худшем случае люди могут легко пополнять свои кошельки, а компания потеряет кучу денег. Почему бы не потратить минимум средств на наличие одного почтового ящика для такого рода ситуаций?» — сказал Тараненко.
CSC ServiceWorks управляет более чем миллионом стиральных машин, подключенных к интернету, в жилых домах и кампусах колледжей в США, Канаде и некоторых странах Европы.