- Studentům ze Santa Cruz se podařilo nabourat do systému prádelní společnosti
- Mohli si tak v jejích pračkách prát zadarmo či navyšovat zůstatek na účtu
- Firma chybu ani několik měsíců po upozornění neopravila
Společnost CSC ServiceWorks je jedním z největších poskytovatelů prádelních služeb ve Spojených státech, Kanadě a Evropě. Do obytných domů, hotelů a univerzitních kampusů dodává miliony praček, a když si někdo potřebuje něco vyprat, stačí zaplatit a může prát.
Tyto pračky se ovšem ukázaly jako zřejmě velmi špatně zabezpečené. Dvojici studentů Kalifornské univerzity v Santa Cruz Alexanderovi Sherbrookeovi a Iakovi Taranenkovi se totiž podařilo zneužít API rozhraní prádelní aplikace CSC Go k různým činnostem, jako je například vzdálený příkaz k praní bez zaplacení. Dokonce se jim podařilo hacknout prádelní aplikaci takovým způsobem, že ukazovala zůstatek miliony dolarů.
Společnost na upozornění nereagovala
Již v lednu se pokoušeli společnost několikrát kontaktovat prostřednictvím e-mailů i telefonátů, ovšem nic se nedozvěděli. Falešné miliony firma vymazala, avšak tato kritická bezpečnostní chyba zůstala stále neopravena.
Poté, co čekali na odezvu déle než obvyklé tři měsíce, rozhodli se svá zjištění zveřejnit. Poprvé výsledky svého „výzkumu“ údajně prezentovali na univerzitním klubu kybernetické bezpečnosti na začátku května a nyní prý již kdokoliv může díky zveřejněným příkazům prát své prádlo u firmy CSC zdarma.
Sherbrooke uvedl, že jednoho lednového rána seděl s notebookem na podlaze své sklepní prádelny. Z notebooku spustil skript s kódem, který říkal pračce před ním, aby spustila prací cyklus, ačkoliv na účtu prádelny neměl žádné peníze. Pračka se okamžitě probudila hlasitým pípnutím a na displeji se rozblikalo „PUSH START“, což znamenalo, že je připravena vyprat volnou dávku prádla.
Přílišná důvěřivost serverů firmy
Studenti také zjistili, že aplikace firmy provádí veškeré bezpečnostní kontroly v zařízení uživatele a servery společnosti CSC mu automaticky důvěřují. Dokonce prý ani nekontrolují pravost emailových adres, které při registraci uživatelé zadávají.
Je vskutku šokující, jak může gigant ve svém oboru, jako je CSC, mít tak špatné kybernetické zabezpečení. Zde svou vinu společnost odnese maximálně v podobě ušlých zisků, ovšem existují i jiné případy, kdy například špatné zabezpečení umožnilo hackerům prohlížet záznamy z bezpečnostních kamer cizích lidí, což již rozhodně není žádná legrace.
