Dvojici studentů kalifornské unierzity se podařilo najít bezpečnostní chybu, která umožňovala lidem ve veřejných prádelnách prát prádlo zdarma. Společnost CSC ServiceWorks, jíž síť prádelen patří, studenti o chybě informovali. Ta však jejich žádosti o její opravu ignorovala. Informuje o tom server TechCrunch.
Pračky ve veřejných prádelnách v obytných domech a univerzitních kampusech po celém světě jsou připojeny k internetu, čehož dvojice v rámci svého útoku využila. Zranitelnost objevená Alexandrem Sherbrookem a Iakovem Taranenkem umožňuje komukoliv vzdáleně odesílat příkazy do praček provozovaných CSC a spouštět prací cykly zdarma.
Sherbrooke uvedl, že jednoho lednového rána seděl na podlaze sklepní prádelny v časných ranních hodinách s notebookem na klíně a dostal nápad spustit skript s kódem, který pračce přikázal spustit cyklus, přestože měl na účtu pradelny nulový zůstatek. Pračka se okamžitě probudila hlasitým pípnutím a na displeji se rozblikalo „PUST START“ jako potvrzení, že je připravená na prací cyklus.
V jiném případě si studenti na jeden ze svých účtů na praní prádla připsali zdánlivý zůstatek ve výši několika milionů dolarů. Kredit se okamžitě projevil i v mobilní aplikaci CSC Go, přes kterou se tyto účty ovládají. Zranitelnost má být v API rozhraní používaném právě touto mobilní aplikací. Veškeré bezpečnostní kontroly provádí aplikace v zařízení uživatele a servery společnosti CSC jim automaticky důvěřují.
CSC Service Works se chlubí provozem sítě více než milionu praček instalovaných v hotelech, univerzitních kampusech a rezidencích po Spojených státech, Kanadě i Evropě. Tento provozoval po zveřejnění těchto zjištění ve vší tichosti smazal oběma studentům zůstatek na účtu ve výši několika milionů dolarů. Chyba prý ale zůstává dál neopravená a další uživatelé tak mohou svůj kredit bez peněz navýšit.
ČLÁNKY DO MAILU