Hiába jelentették, az amerikai CSC ServiceWork semmit nem kezdett azzal a biztonsági hibával, amin keresztül rávehetők az internetre kötött mosógépek, hogy ingyen dolgozzanak.
Biztonsági rést talált a Kaliforniai Egyetem két diákja, Alexander Sherbrooke és Iakov Taranenko a világszerte több mint egymillió mosodai mosógépet üzemeltet CSC ServiceWorks rendszerében. Ezt kihasználva elérhető, hogy az internetre csatlakoztatott mosógépeket ingyen lehessen használni, ami óriási veszteséget okozhat a vállalatnak.
A TechCrunch beszámolója szerint bár a diákok jelezték az év elején felfedezett hibát a CSC ServideWorksnek, a cég nem teljesítette a hiba javítására vonatkozó kéréseket. Sherbrooke elmondása szerint még januárban vette észre, hogy egy szkript segítségével a mosógép rávehető, hogy pénz nélkül elvégezze a kiválasztott mosási programot.
Egy másik esetben a diákok több millió dolláros kamu egyenleget adtak hozzá a mosodai felhasználói fiókjukhoz, mintha az normális lenne, hogy valaki ennyi pénzt akar mosásra költeni. A CSC Go nevű mobilalkalmazásban viszont úgy tűnt, az egyenleget teljesen valid módon kezeli a cég rendszere.
Mivel az Egyesült Államokban, Kanadában és Európában is működő CSC ServiceWorks weboldalán nincs külön menüpont a biztonsági hibák jelentésére, a két diák először a cég honlapján található kapcsolatfelvételi űrlap segítségével próbálta meg elérni a céget. Miután ez az út többször csődöt mondott, telefonon próbáltak kapcsolatba lépni a vállalattal – szintén sikertelenül.
A diákok összesen három hónapot vártak, hogy nyilvánosságra hozzák a hibát – ez jóval több mint amit normál esetben egy cég kap arra, hogy javítsa a felfedezett és jelentett biztonsági rést a rendszerén. Azt nem tudni, hogy ki a felelős a CSC informatikai rendszerének biztonságáért, az viszont biztos, hogy a cég a TechCrunch megkeresésére sem reagált.
A hallgató kutatók szerint a sérülékenység a CSC mobilalkalmazása, a CSC Go által használt API-ban van. Az API lehetővé teszi, hogy az alkalmazások és eszközök kommunikáljanak egymással az interneten keresztül. Ebben az esetben a felhasználó a CSC Góban tölti fel az egyenlegét, ezzel fizet, valamint indítja el a mosást egy közeli gépen.
A két diák rájött, hogy a cég szerverei rávehetők olyan kód futtatására, ami módosítja az egyenlegüket. Ez azért lehetséges, mert a biztonsági ellenőrzés a mobilon történik, így az alkalmazás által küldött parancsban a szerverek megbíznak. Ez lehetővé teszi, hogy a támadók anélkül használják a mosoda gépét, hogy azért ténylegesen fizetnének.
A kiberbiztonsági szakemberek szerint a bárki létrehozhat egy fiókot az alkalmazásban egy kitalált e-mail címmel, a szerverek nem fogják ellenőrizni, hogy az adott e-mail cím valóban a felhasználóhoz tartozik-e. Azt nem tudták megmondani, hogy a mosógépeket az alkalmazáson keresztül küldött parancsokkal túl lehet-e hajtani, hogy azok túlmelegedjenek majd meggyulladjanak. Mindenesetre a példa jól mutatja, mennyire veszélyes lehet egy ilyen biztonsági rés.
A cég időközben törölte a több millió dolláros egyenleget, a másik biztonsági hibához azonban még hozzá sem nyúltak.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
Azokat, akik csak a Stranger Thingsből ismerik, összezavarná, hogy miket művelt a karrierje kezdetén Paul Reiser. Korábbi rajongóit például azzal lepte meg, hogy feltűnt az Aliens gonoszaként. A veterán komikussal pályafutása cikkcakkjairól, Jerry Seinfeldről, Lisa Kudrow-ról és Eddie Murphyről is beszélgettünk. És arról is, miért tartotta hülyeségnek a Jóbarátokat.
Újabb hétvége, újabb késő vonatok a Balatonnál.
A Tisza Párt elnöke legújabb bejegyzésében kifejezetten a fideszeseket szólította meg.
A polgármester szerint ezentúl Szegeden keresnek a legtöbbet az önkormányzati képviselők az országban.
