Студенты Александр Шербрук и Яков Тараненко из Калифорнийского университета в Санта-Крузе обнаружили серьезную уязвимость в работе прачечных самообслуживания компании CSC ServiceWorks. Эта проблема позволяет любому человеку совершенно бесплатно пользоваться миллионом подключенных к интернету стиральных машин, установленных в жилых домах, отелях и на территории учебных заведений по всему миру.
Исследователи рассказали журналистам издания TechCrunch, что обнаруженный ими баг дает возможность удаленно отправлять команды стиральным машинам и стирать без оплаты. CSC ServiceWorks – это крупная компания, предоставляющая услуги прачечных и заявляющая, что ее сеть насчитывает более миллиона стиральных машин, расположенных в отелях, университетских кампусах и жилых домах на территории США, Канады и Европы.
Однако самое тревожное в этой ситуации то, что студенты на протяжении нескольких месяцев безуспешно пытались связаться с представителями CSC ServiceWorks (как и журналисты позднее), но компания проигнорировала все сообщения и до сих пор не устранила уязвимость.
Поскольку у CSC ServiceWorks отсутствует отдельная страница для сообщений об уязвимостях, еще в январе 2024 года Шербрук и Тараненко отправили несколько сообщений через форму обратной связи, но не получили никакого ответа. Телефонный звонок в компанию также не принес результатов.
В конечном итоге студенты передали информацию специалистам CERT/СС, которые помогают ИБ-исследователям раскрывать уязвимости поставщикам, а также распространять исправления и рекомендации по безопасности.
После более трех месяцев ожидания исследователи решили опубликовать информацию о своих находках. Впервые они представили результаты своего исследования в рамках презентации в университетском клубе кибербезопасности в мае текущего года.
Уязвимость кроется в API, используемом мобильным приложением CSC ServiceWorks – CSC Go. Пользователь открывает приложение CSC Go, чтобы пополнить счет, оплатить и начать загрузку белья в ближайшей машине.
Изучив сетевой трафик при входе в систему и использовании приложения CSC Go, исследователи обнаружили, что могут обойти проверки безопасности и передать команды непосредственно на серверы CSC ServiceWorks. Оказалось, что серверы компании можно обманом заставить принять команды, изменяющие баланс счета, поскольку все проверки безопасности выполняются приложением на устройстве пользователя, которому автоматически доверяют серверы CSC. Это позволяет оплачивать стирку, не внося реальных средств на счет.
Во время экспериментов студенты успешно добавили на один из своих счетов несколько миллионов долларов, что отразилось в их мобильном приложении CSC Go, как будто это была совершенно обычная сумма денег, доступная для оплаты стирки.
По утверждению исследователей, любой человек может создать учетную запись пользователя CSC Go и отправлять команды с помощью API, так как серверы компании даже не проверяют, принадлежат ли новым пользователям указанные ими адреса электронной почты.
Имея прямой доступ к API и список команд для связи с серверами компании (случайно опубликованный самой CSC ServiceWorks в открытом доступе), можно удаленно определять местонахождение и взаимодействовать с «любой стиральной машиной в сети CSC ServiceWorks».