Студенты обнаружили ошибку в киберзащите управления стиральными машинами от CSC. Они постирали на несколько миллионов долларов

Студенты из университета в Санта-Круз обнаружили ошибку в системе управления стиральными машинами компании CSC, которая позволяла им запускать циклы стирки совершенно бесплатно. Они также смогли увеличить счет для стирки на несколько миллионов долларов, что выглядело как нормальное количество денег для этой операции. Поставщик не реагировал на просьбы исправить эту проблему. После публикации CSC предоставила TechCrunch заявление с извинениями за то, что не ответила раньше, и поблагодарила студентов за сообщение о проблеме.

CSC ServiceWorks — это крупная компания, предоставляющая услуги прачечных, которая располагает огромной сетью стиральных машин, размещенных в различных местах, включая отели, университетские городки и жилые дома в США, Канаде и Европе. Шербрук и Тараненко пытались сообщить об обнаруженной ими ошибке в компании CSC ServiceWorks, используя онлайн-форму обратной связи в январе, однако не получили никакого ответа. Они также попытались связаться с компанией по телефону, но и это не принесло результатов из-за отсутствия отклика со стороны CSC ServiceWorks.

Студенты также передали свои открытия в Центр координации CERT при университете Карнеги-Меллон, который помогает исследователям безопасности раскрывать проблемы в продуктах для поставщиков и дает рекомендации об исправлениях. Студенты теперь рассказывают больше о своих выводах после длительного ожидания, превышающего обычные три месяца, которые предоставляются исследователями безопасности для устранения недостатков до их публикации.

После публикации материала CSC выразили благодарность исследователям за их усилия. Вице-президент по маркетингу CSC Стивен Гилберт заявил: «Мы выражаем признательность мистеру Шербруку и мистеру Тараненко за их вклад в обеспечение безопасности компании CSC ServiceWorks и заинтересованных сторон. А также извиняемся за нашу несвоевременную реакцию». CSC сообщила, что сотрудничество с поставщиками помогло исправить проблему, и также обещала обновить свой веб-сайт с формой для сообщений о безопасности.

Студенты сообщили о неисправности в API, используемом мобильным приложением CSC Go, позволяющим клиентам взаимодействовать с устройствами через интернет. При открытии приложения CSC Go клиент может пополнить счет, оплатить стирку и запустить процесс на ближайшей стиральной машине. Шербрук и Тараненко выявили, что серверы CSC подвержены манипуляциям, которые позволяют изменять балансы и оплачивать услуги, не имея реальных средств на счете.

Путем анализа передачи данных между устройствами во время использования приложения CSC Go, Шербрук и Тараненко обнаружили, что им удалось обойти систему проверок безопасности приложения и напрямую отправлять инструкции на серверы компании CSC.

Компании, разрабатывающие технологические продукты, такие как CSC, несут ответственность за обеспечение должного уровня защиты и проведение необходимых проверок безопасности на своих серверах. В противном случае это можно сравнить с ситуацией, когда охранника в банке не интересует, имеется ли право на доступ к сейфу.

Студенты-исследователи выяснили, что любой человек может создать учетную запись в приложении CSC Go и отправлять команды через API, так как серверы не проводят проверку адресов электронной почты новых пользователей. Для подтверждения этого они создали новую учетную запись CSC с выдуманным адресом. Получив прямой доступ к API и обратившись к опубликованному CSC списку команд для связи с их серверами, исследователи получили возможность удаленно взаимодействовать с «каждой стиральной машиной, подключенной к сети CSC ServiceWorks».

На практике бесплатная стирка имеет очевидные плюсы. Однако исследователи подчеркнули потенциальные опасности, связанные с интернетом подключения к сети бытового оборудования и уязвимости к атакам. Шербрук и Тараненко отметили, что им неизвестно, можно ли отправлять команды через API, обходя ограничения безопасности, которыми оснащены стиральные машины, чтобы предотвращать перегрев и пожары. Исследователи сообщили, что перед тем как нажать на кнопку запуска, невозможно изменить параметры на передней панели стиральной машины, не перезагрузив ее.

После сообщения об обнаруженных проблемах CSC незаметно обнулила баланс счета исследователей на несколько миллионов долларов. Однако студенты утверждают, что пользователи могут по-прежнему «свободно» увеличить свой счет на любую сумму.

Тараненко выразил разочарование тем, что CSC не признала свою ошибку. «Я просто не могу понять, как такая крупная компания пропускает такие ошибки, а затем не имеет способа связаться с ними, — сказал он. — В худшем случае люди могут легко пополнить свой кошелек и компания потеряет огромные деньги. Почему бы не потратить минимальное количество времени на создание единого электронного почтового ящика для подобных ситуаций?»

Ранее компания Microsoft устранила ошибку в системе безопасности, в результате которой внутренние файлы и учетные данные компании оказались в открытом доступе в Интернете. Исследователи безопасности Кан Йолери, Мурат Озфидан и Эгемен Кочисарли из компании SOCRadar, занимающейся кибербезопасностью и помогающей организациям находить слабые места в системе безопасности, обнаружили открытый и общедоступный сервер хранения данных, размещенный в облачном сервисе Microsoft Azure, на котором хранилась внутренняя информация, связанная с поисковой системой Microsoft Bing.