Você está visualizando atualmente Estudantes da UCSC dizem que, após relatar o bug meses atrás, ainda conseguem acumular cargas de lavagem ilimitadas gratuitas em sua lavanderia local

Estudantes da UCSC dizem que, após relatar o bug meses atrás, ainda conseguem acumular cargas de lavagem ilimitadas gratuitas em sua lavanderia local

Dois estudantes da Universidade da Califórnia em Santa Cruz (UCSC) descobriram uma falha de segurança nas máquinas de lavar da CSC ServiceWorks que permite ciclos de lavanderia ilimitados e gratuitos.

Os estudantes, Alexander Sherbrooke e Iakov Taranenko, explicaram ao TechCrunch que o bug permite que alguém envie comandos remotos para as máquinas de lavar. A vulnerabilidade está na API usada pelo CSC Go, o aplicativo móvel da CSC, que pode ser enganado para aceitar comandos porque “as verificações de segurança são feitas pelo aplicativo no dispositivo do usuário e são automaticamente confiáveis pelos servidores da CSC”.

A falha foi descoberta quando Sherbrooke conseguiu executar um script de código com instruções para a máquina executar um ciclo, mesmo que sua conta estivesse com $0. Para sua surpresa, a máquina de lavar acendeu, levando o cliente em questão a pressionar o botão de start para o ciclo começar.

Mas os estudantes não pararam por aí. Em seguida, adicionaram um saldo generoso às suas contas de lavanderia, totalizando vários milhões de dólares, o que o aplicativo móvel CSC Go permitiu.

Sherbrooke e Taranenko entraram em contato com a CSC ServiceWorks – que não tem uma página dedicada à segurança e à denúncia de bugs – através do formulário de contato online em janeiro deste ano, mas nunca receberam resposta. Ligar para a empresa resultou na mesma barreira.

Agora, meses depois, tendo esperado mais do que os três meses que os pesquisadores normalmente concedem aos fornecedores para corrigir suas vulnerabilidades antes de informar ao mundo, o par está entrando em mais detalhes sobre suas descobertas.

A Dark Reading entrou em contato com a CSC ServiceWorks para comentar, mas ainda não recebeu resposta.

Em 20 de maio, Sherbrooke e Taranenko submeteram um post de blog para a Slug Security em uma “continuação mais técnica” da entrevista que fizeram com o TechCrunch.

Os estudantes disseram que esperaram tanto tempo para relatar o bug porque queriam ter certeza de que estavam seguindo o processo corretamente.

“Não queremos que uma empresa multimilionária nos processe porque não relatamos”, disseram. Os estudantes da UCSC até receberam a ajuda do Centro de Coordenação CERT da Universidade Carnegie Mellon para contatar o fornecedor, mas o fornecedor nem sequer visitou o portal do CERT para ver a mensagem.

Depois que os estudantes relataram suas descobertas, a CSC zerou o saldo de vários milhões de dólares em suas contas, mas as vulnerabilidades ainda não foram corrigidas.

“No pior cenário, as pessoas podem facilmente carregar suas carteiras e a empresa perder muito dinheiro”, disse Taranenko. “Por que não gastar o mínimo necessário de ter uma única caixa de entrada de e-mail de segurança monitorada para esse tipo de situação?”