Twee studenten ontdekten een fout waardoor wasmachines gratis gebruikt kunnen worden

Twee studenten ontdekten een fout waardoor wasmachines gratis gebruikt kunnen worden

Pierluigi Paganini
20 mei 2024

Twee studenten hebben een beveiligingsfout ontdekt in meer dan een miljoen op het internet aangesloten wasmachines, waardoor kleding gratis gewassen kon worden.

CSC-servicebedrijf is een bedrijf dat wasservices en luchtverkoopoplossingen levert aan meergezinswoningen, academische instellingen, horeca en andere commerciële sectoren. Ze beheren en exploiteren verschillende op internet aangesloten wasmachines en -systemen en leveren diensten zoals wasmachines met munt- en kaartbediening, mobiele betalingsoplossingen en onderhoudsondersteuning.

Studenten Alexander Sherbrooke en Yakov Taranenko, van de Universiteit van Californië, Santa Cruz, ontdekten een beveiligingsprobleem dat gevolgen heeft voor meer dan een miljoen op internet aangesloten wasmachines die in woningen en universiteitscampussen over de hele wereld worden gebruikt. Een aanvaller op afstand zou dit beveiligingslek kunnen misbruiken om opdrachten op afstand naar wasmachines te sturen, waardoor kleding gratis kan worden gewassen. Het duo meldde de fout eerder dit jaar bij de leverancier, maar ze beweren dat het bedrijf het probleem nog niet heeft opgelost.

“UC Santa Cruz-studenten Alexander Sherbrooke en Iakov Taranenko vertelden TechCrunch dat de kwetsbaarheid die ze ontdekten het voor iedereen mogelijk maakt om op afstand opdrachten te sturen naar door CSC bediende wasmachines en gratis wascycli uit te voeren.” genoemd TechCrunch.

Sherbrooke legde uit dat hij in januari in de wasruimte in de kelder van zijn huis zat toen hij een script vanaf zijn laptop draaide waarin hij de wasmachine de opdracht gaf een cyclus te starten, ook al stond er geen geld op zijn rekening. De wasmachine reageerde onmiddellijk door luid te piepen en “PUSH START” weer te geven, wat aangeeft dat hij klaar was om een ​​vrije lading wasgoed te wassen.

Sherbrooke en Taranenko konden ook enkele miljoenen dollars toevoegen aan hun wasrekening, waarmee ze het kunnen beheren CSC Go mobiele app.

Het duo stuurde het bedrijf verschillende berichten via het online contactformulier, maar de verkoper nam nooit contact met hen op.

De twee studenten rapporteerden het probleem vervolgens aan het CERT Coördinatiecentrum van de Carnegie Mellon Universiteit.

Het CERT-team heeft de getroffen leveranciers op de hoogte gebracht die het probleem hebben aangepakt. Nadat de onderzoekers hun bevindingen hadden gerapporteerd, heeft CSC echter stilletjes het rekeningsaldo van meerdere miljoenen dollars gereset.

Het beveiligingslek ligt in de Application Programming Interface (API) die wordt gebruikt door de mobiele applicatie van CSC. CSC Go. De twee studenten ontdekten dat de applicatie geen veiligheidscontroles en wederzijdse authenticatie tussen de applicatie en CSC-servers had. Experts ontdekten ook dat het mogelijk is om via de applicatie zelf opdrachten te sturen naar niet-beschikbare CSC-servers.

Dankzij toegang tot een application programming interface (API) konden onderzoekers de lijst met opdrachten opsommen die door CSC-servers werden ondersteund. Een ander aspect waarmee rekening moet worden gehouden, is dat aanvallers op afstand heel gemakkelijk wasmachines kunnen lokaliseren en er opdrachten naar kunnen sturen.

Taranenko was teleurgesteld dat de CSC de kwetsbaarheid niet erkende.

“CSC heeft stilletjes het rekeningsaldo van meerdere miljoenen dollars van de onderzoekers weggevaagd nadat ze hun bevindingen hadden gerapporteerd, maar de onderzoekers zeiden dat de bug niet was opgelost en dat gebruikers zichzelf nog steeds 'vrij' elk geldbedrag konden geven.” TechCrunch concludeert.

Volg me op Twitter: @veiligheidszaken En Facebook En Mastodont

Pierluigi Paganini

(Veiligheidszaken – hacken, wasmachines)