Двое студентов из Калифорнийского университета в Санта-Крузе обнаружили проблему в работе прачечных самообслуживания CSC ServiceWorks. Баг позволяет вообще не платить за стирку и пользоваться любой из миллиона подключенных к интернету стиральных машин, установленных в жилых домах, отелях и кампусах учебных заведений по всему миру.
Студенты-исследователи Александр Шербрук и Яков Тараненко рассказали журналистам издания TechCrunch, что обнаруженная ими уязвимость позволяет любому удаленно отправлять команды прачечным машинам и стирать бесплатно.
CSC ServiceWorks — крупная компания, предоставляющая услуги прачечных и заявляющая, что ее сеть насчитывает более миллиона стиральных машин, установленных в отелях, университетских кампусах и жилых домах по всей территории США, Канады и Европы.
Хуже того, на протяжении нескольких месяцев студенты пытались связаться с представителями CSC ServiceWorks (а теперь с ними попытались связаться и журналисты), но компания проигнорировала все сообщения и до сих пор не устранила проблему.
Поскольку у CSC ServiceWorks нет отдельной страницы для сообщений об уязвимостях, еще в январе 2024 года Шербрук и Тараненко пытались отправить компании несколько сообщений через форму для обратной связи, но не получили никакого ответа. По их словам, телефонный звонок в компанию тоже ни к чему не привел.
В итоге студенты передали информацию специалистам CERT/СС, который помогает ИБ-исследователям раскрывать уязвимости поставщикам, а также распространять исправления и рекомендации по безопасности.
Выждав более трех месяцев, исследователи все же приняли решение опубликовать информацию о своих находках. Впервые они обнародовали результаты своего исследования в рамках презентации в университетском клубе кибербезопасности в мае текущего года.
Проблема кроется в API, используемом мобильным приложением CSC ServiceWorks — CSC Go. Так, человек открывает приложение CSC Go, чтобы свой пополнить счет, заплатить и начать загрузку белья в ближайшей машине.
Изучив сетевой трафик при входе в систему и использовании приложения CSC Go, исследователи обнаружили, что могут обойти проверки безопасности и передать команды непосредственно на серверы CSC ServiceWorks. Оказалось, серверы компании можно обманом вынудить принять команды, изменяющие баланс счета, поскольку все проверки безопасности выполняются приложением на устройстве пользователя, которому автоматически доверяют серверы CSC. Это позволяет оплачивать стирку, не внося реальных средств на счет.
Так, в ходе своих экспериментов, студенты успешно добавили на один из своих счетов несколько миллионов долларов, что отразилось в их мобильном приложении CSC Go. Будто это была совершенно обычная сумма денег, которую студент мог бы потратить на стирку.
Как утверждают исследователи, любой человек может создать учетную запись пользователя CSC Go и отправлять команды с помощью API, поскольку серверы компании даже не проверяют, принадлежат ли новым пользователям их адреса электронной почты.
В итоге, имея прямой доступ к API и список команд для связи с серверами компании (случайно опубликованный самой CSC ServiceWorks в открытом доступе), можно удаленно определить местонахождение и взаимодействовать с «любой стиральной машиной в сети CSC ServiceWorks».
При этом студенты предупреждают, что бесплатная стирка может оказаться не основной проблемой. Дело в том, что мощные приборы, подключенные к интернету и уязвимые для атак, могут нести большую потенциальную опасность.
Шербрук и Тараненко пишут, что им неизвестно, может ли отправка команд через API помочь обойти ограничения безопасности, которыми оснащены современные стиральные машины для предотвращения перегрева и возгорания. Все же для запуска цикла стирки кто-то должен физически нажать на кнопку запуска стиральной машины, а до этого момента настройки на передней панели устройства не могут быть изменены, пока кто-то не перезагрузит машину.
После того как исследователи опубликовали информацию о проблемах, CSC ServiceWorks удалила с их счета миллионы долларов, однако сама проблема до сих пор не исправлена, и пользователи по-прежнему могут выдать самим себе произвольную сумму денег.
«Я не понимаю, как такая крупная компания может допускать подобные ошибки и не иметь способов для связи, — говорит Тараненко. — В худшем случае люди смогут с легкостью пополнить свои кошельки, и компания потеряет кучу денег. Почему нельзя просто потратить минимум средств на один почтовый ящик для вопросов безопасности для предотвращения подобных ситуаций?».