Los estudiantes han descubierto un fallo que afecta a un millón de lavadoras de autoservicio de la empresa CSC ServiceWorks. La vulnerabilidad le permite ejecutar un ciclo de lavado de forma gratuita.
Alexander Sherbrooke e Iakov Taranenko, dos estudiantes investigadores de UC Santa Cruz, encontraron una vulnerabilidad de seguridad que afecta a lavanderías, hoteles, residencias universitarias y otros campus universitarios en Estados Unidos, Europa y Canadá.
Créditos ilimitados por fallo de seguridad
Para utilizar las lavadoras de la empresa, debe instalar la aplicación CSC Go en un teléfono inteligente, luego cargar su balanza e iniciar el ciclo de lavado en la máquina seleccionada. Pero estos dos estudiantes lo encontraron y la empresa aún no lo ha solucionado.
La historia comienza en enero, Alexander Sherbrooke está por la mañana en la lavandería del sótano con su ordenador portátil. Sin saldo en su cuenta, ejecuta la manipulación: lanza su ciclo gratis, sin pagar un solo centavo. Los estudiantes investigadores incluso logran acreditar millones de dólares en sus cuentas CSC Go.
Los estudiantes explican que CSC ServiceWorks aún no ha corregido el problema ya que sus solicitudes no han tenido éxito. Sin embargo, el dúo intentó ponerse en contacto con ellos. La empresa, que todavía tiene 90 años, ni siquiera tiene una página reservada para violaciones de seguridad. Por otro lado, se han eliminado los millones de dólares en créditos de la cuenta CSC Go.
Una vulnerabilidad en la API de la aplicación móvil
Sin entrar en detalles, los alumnos explican qué permite que las lavadoras y la aplicación se comuniquen online. Descubrieron cómo enviar ellos mismos comandos al servidor, evitando los controles de seguridad.
Según ellos, es posible interactuar con “todas las lavadoras de la red CSC ServiceWorks”o un millón, publicado por la empresa.
Fuente: Techcrunch