Biztonsági rést talált a Kaliforniai Egyetem két diákja, Alexander Sherbrooke és Iakov Taranenko a világszerte több mint egymillió mosodai mosógépet üzemeltet CSC ServiceWorks rendszerében. Ezt kihasználva elérhető, hogy az internetre csatlakoztatott mosógépeket ingyen lehessen használni, ami óriási veszteséget okozhat a vállalatnak.

A TechCrunch beszámolója szerint bár a diákok jelezték az év elején felfedezett hibát a CSC ServideWorksnek, a cég nem teljesítette a hiba javítására vonatkozó kéréseket. Sherbrooke elmondása szerint még januárban vette észre, hogy egy szkript segítségével a mosógép rávehető, hogy pénz nélkül elvégezze a kiválasztott mosási programot.

Egy másik esetben a diákok több millió dolláros kamu egyenleget adtak hozzá a mosodai felhasználói fiókjukhoz, mintha az normális lenne, hogy valaki ennyi pénzt akar mosásra költeni. A CSC Go nevű mobilalkalmazásban viszont úgy tűnt, az egyenleget teljesen valid módon kezeli a cég rendszere.

Pixabay/RyanMcGuire

Mivel az Egyesült Államokban, Kanadában és Európában is működő CSC ServiceWorks weboldalán nincs külön menüpont a biztonsági hibák jelentésére, a két diák először a cég honlapján található kapcsolatfelvételi űrlap segítségével próbálta meg elérni a céget. Miután ez az út többször csődöt mondott, telefonon próbáltak kapcsolatba lépni a vállalattal – szintén sikertelenül.

A diákok összesen három hónapot vártak, hogy nyilvánosságra hozzák a hibát – ez jóval több mint amit normál esetben egy cég kap arra, hogy javítsa a felfedezett és jelentett biztonsági rést a rendszerén. Azt nem tudni, hogy ki a felelős a CSC informatikai rendszerének biztonságáért, az viszont biztos, hogy a cég a TechCrunch megkeresésére sem reagált.

A hallgató kutatók szerint a sérülékenység a CSC mobilalkalmazása, a CSC Go által használt API-ban van. Az API lehetővé teszi, hogy az alkalmazások és eszközök kommunikáljanak egymással az interneten keresztül. Ebben az esetben a felhasználó a CSC Góban tölti fel az egyenlegét, ezzel fizet, valamint indítja el a mosást egy közeli gépen.

A két diák rájött, hogy a cég szerverei rávehetők olyan kód futtatására, ami módosítja az egyenlegüket. Ez azért lehetséges, mert a biztonsági ellenőrzés a mobilon történik, így az alkalmazás által küldött parancsban a szerverek megbíznak. Ez lehetővé teszi, hogy a támadók anélkül használják a mosoda gépét, hogy azért ténylegesen fizetnének.

A kiberbiztonsági szakemberek szerint a bárki létrehozhat egy fiókot az alkalmazásban egy kitalált e-mail címmel, a szerverek nem fogják ellenőrizni, hogy az adott e-mail cím valóban a felhasználóhoz tartozik-e. Azt nem tudták megmondani, hogy a mosógépeket az alkalmazáson keresztül küldött parancsokkal túl lehet-e hajtani, hogy azok túlmelegedjenek majd meggyulladjanak. Mindenesetre a példa jól mutatja, mennyire veszélyes lehet egy ilyen biztonsági rés.

A cég időközben törölte a több millió dolláros egyenleget, a másik biztonsági hibához azonban még hozzá sem nyúltak.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.