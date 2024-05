Okazuje się, że w technologicznym świecie nawet pranie może wiązać się z lukami w zabezpieczeniach. Kalifornijscy studenci znaleźli sposób na uniknięcie opłaty za korzystanie z akademickich pralek. Choć odkrywcy skontaktowali się z firmą kilka miesięcy temu, ta nadal nie zareagowała.

W tych placówkach pranie da się zrobić za darmo

CSC ServiceWorks to światowa firma zajmująca się dostarczaniem rozwiązań pralniczych, która obsługuje ponad 40 milionów konsumentów. Przedsiębiorstwo znane jest na terenie USA, Kanady oraz Europy, a z jej usług korzystają przede wszystkim akademiki, kampusy czy hotele. Pralki połączone są z siecią internetową, a ich zasada działania jest dość prosta – użytkownik w swoim smartfonie uruchamia aplikację, doładowuje konto za pomocą środków własnych, dokonuje płatności, a następnie ładuje pranie do maszyny.

Okazuje się jednak, że opłatę za usługę można pominąć – przez lukę w zabezpieczeniach urządzeń pralniczych można aktywować sprzęt całkowicie za darmo. Odkrywcami tego niedopatrzenia są Alexander Sherbrooke i Iakov Taranenko – studenci Uniwersytetu Kalifornijskiego w Santa Cruz.

Aby rozpocząć darmowe pranie, wystarczy uruchomić skrypt kodu aktywujący rozpoczęcie cyklu. Przez brak odpowiednich zabezpieczeń na koncie użytkownika nie musiały znajdować się żadne pieniądze, żeby pralka rozpoczęła pracę. Studenci zaczęli zagłębiać się w sprawę, udało im się nawet dodać do jednego ze swoich kont kilkumilionowe saldo, które w aplikacji widniało jako zwyczajna opłata za pranie.

Brak reakcji na luki ze strony ogromnego przedsiębiorstwa

Sprytni studenci już od ponad trzech miesięcy próbują skontaktować się z firmą CSC ServiceWorks na kilka różnych sposobów – za pomocą formularza oraz telefonicznie – jednak przedsiębiorstwo nie odpowiedziało ani nie usunęło wykrytej luki. Odkrywcy skierowali też sprawę do Centrum Koordynacyjnego CERT, które zlokalizowane jest przy Carnegie Mellon University.

Jak ujawniają studenci, darmowe pranie wynika z luki zlokalizowanej w interfejsie API, na którym oparta jest aplikacja CSC Go. Serwery przedsiębiorstwa pozwalają na zaakceptowanie poleceń programistycznych powodujących zmiany w saldach kont, a to z kolei prowadzi do „płacenia” za pranie bez udziału prawdziwych środków. Możliwość ta została już sprawdzona i potwierdzona przez innych badaczy.