Двоє студентів знайшли баг в системі безпеки, який може дозволити мільйонам людей безплатно прати білизну

Завдяки одній компанії мільйони студентів коледжів можуть безплатно прати білизну через прогалину в системі безпеки. Як повідомляє TechCrunch, двоє студентів Каліфорнійського університету в Санта-Крузі знайшли вразливість у пральних машинах, підключених до Інтернету, які використовуються в комерційних цілях у кількох країнах.

Обидва студенти, Александр Шербрук і Яків Тараненко, очевидно, використовували API для додатків пральних машин, щоб віддалено наказувати їм працювати без оплати та оновлювати рахунок пральні, щоб показати, що на ньому є мільйони доларів. Компанія CSC ServiceWorks, яка володіє цими машинами, стверджує, що має понад мільйон пральних і торгових автоматів у коледжах, багатоквартирних будинках, пральнях тощо в США, Канаді та Європі.

CSC так і не відповіла, коли Шербрук і Тараненко повідомили про вразливість електронною поштою та телефонним дзвінком у січні, пише TechCrunch. Попри це, студенти розповіли виданню, що компанія «тихо знищила» їхні фальшиві мільйони після того, як вони зв’язалися з нею.

Відсутність відповіді змусила їх розповісти про свої висновки іншим. Зокрема, вони розповіли TechCrunch, що компанія має опублікований список команд, який, за їхніми словами, дозволяє підключатися до всіх пральних машин CSC, підключених до мережі. CSC ServiceWorks не одразу відповіла на запит The Verge про коментарі.

Вразливість CSC є гарним нагадуванням про те, що ситуація з безпекою інтернету речей все ще не вирішена. У випадку з експлоітом, який знайшли студенти, можливо, CSC і не ризикує, але в інших випадках недбалість у сфері кібербезпеки дозволяє хакерам або підрядникам компанії переглядати записи чужих камер спостереження або отримувати доступ до «розумних» розеток.

Часто дослідники безпеки знаходять ці дірки в захисті та повідомляють про них до того, як вони можуть бути використані в реальному житті. Але це не допоможе, якщо компанія, відповідальна за них, не реагує.