Dua pelajar Santa Cruz mengesan kesilapan keselamatan yang membolehkan sesiapa mencuci pakaian mereka secara percuma

Pasangan pelajar universiti mengatakan mereka telah menemui dan melaporkan awal tahun ini kelemahan keselamatan yang membolehkan sesiapa pun untuk mengelakkan bayaran untuk pencucian pakaian yang disediakan oleh lebih sejuta mesin basuh yang terhubung internet.

Vendor tersebut, CSC ServiceWorks, berkali-kali mengabaikan permintaan untuk memperbaiki kelemahan tersebut.

Selepas diterbitkan, CSC menyediakan TechCrunch dengan kenyataan meminta maaf kerana tidak memberi respons lebih awal dan mengucapkan terima kasih kepada pelajar-pelajar tersebut kerana melaporkan penemuan mereka. CSC menambah bahawa ia sedang “melabur dalam beberapa inisiatif yang akan menjadikan kami sebuah organisasi yang lebih kukuh dan lebih bersedia terhadap insiden yang akan datang."

Pelajar UC Santa Cruz Alexander Sherbrooke dan Iakov Taranenko memberitahu TechCrunch bahawa kelemahan yang mereka temui membolehkan sesiapa untuk menghantar arahan jauh ke mesin basuh yang dijalankan oleh CSC dan mengoperasikan kitaran pencucian secara percuma.

Sherbrooke berkata dia sedang duduk di lantai ruang basuh bawah tanahnya pada awal pagi bulan Januari dengan laptop di tangannya dan tiba-tiba mengalami saat “oh s—”. Dari laptopnya, Sherbrooke menjalankan skrip kod dengan arahan yang memberitahu mesin di hadapannya untuk memulakan kitaran walaupun mempunyai $0 dalam akaun basuhannya. Mesin itu segera terjaga dengan bunyi keras dan melambai “PUSH START” di paparan, menunjukkan mesin itu bersedia untuk mencuci pakaian secara percuma.

Dalam satu kes lain, para pelajar menambahkan baki seolah-olah berjuta-juta dolar ke salah satu akaun basuh mereka, yang terpapar dalam aplikasi mudah alih CSC Go mereka seolah-olah ia adalah jumlah wang yang sepenuhnya normal bagi seorang pelajar belanja untuk basuhan.

CSC ServiceWorks adalah sebuah syarikat perkhidmatan basuh besar, menawarkan rangkaian lebih sejuta mesin basuh yang dipasang di hotel, kampus universiti, dan kediaman di seluruh Amerika Syarikat, Kanada, dan Eropah.

Memandangkan CSC ServiceWorks tidak mempunyai halaman keselamatan yang didedikasikan untuk melaporkan kelemahan keselamatan, Sherbrooke dan Taranenko menghantar beberapa mesej ke syarikat itu melalui borang hubungan dalam talian pada bulan Januari tetapi tidak mendengar apa-apa balas. Sebuah panggilan telefon ke syarikat juga tidak membawa mereka ke mana-mana, kata mereka.

Pelajar-pelajar juga menghantar penemuan mereka kepada Pusat PemelCoordination dan Persetujuan CERT di Universiti Carnegie Mellon, yang membantu penyelidik keselamatan mendedahkan kelemahan kepada vendor yang terjejas dan memberikan penyelesaian dan panduan kepada orang awam.

Pelajar-pelajar kini mendedahkan lebih banyak tentang penemuan mereka selepas menunggu lebih lama daripada tiga bulan biasa yang diberikan penyelidik keselamatan kepada vendor untuk membetulkan kelemahan sebelum mengumumkannya secara umum. Pasangan tersebut pertama kali mendedahkan kajiannya dalam satu persembahan di kelab siber keamanan universiti mereka pada bulan Mei.

Belum jelas siapa, jika ada, mengawasi keselamatan siber di CSC, dan wakil-wakil CSC tidak memberi respons kepada permintaan TechCrunch untuk komen sebelum penerbitan cerita ini.

Hari setelah cerita ini diterbitkan, CSC menyediakan kenyataan dengan mengucapkan terima kasih kepada penyelidik keselamatan. “Kami ingin mengucapkan terima kasih kepada Tuan Sherbrooke dan Tuan Taranenko atas sumbangan mereka untuk menjadikan syarikat seperti CSC ServiceWorks dan pihak-pihak berkepentingannya lebih selamat. Kami meminta maaf kerana tidak membalas kepada mereka dengan lebih cepat,” kata Stephen Gilbert, Naib Presiden Pemasaran CSC.

CSC mengatakan syarikat “be kerjasama dengan pembekal-pembekal kami untuk menyelesaikan isu ini,” dan bahawa CSC juga akan mengemaskini laman webnya untuk memasukkan borang pelaporan keselamatan yang membolehkan syarikat tersebut untuk “segera menilai dan menangani kebimbangan keselamatan yang dibawa kepada kami oleh orang awam.”

Para penyelidik pelajar mengatakan mereka menemui kelemahan dalam API yang digunakan oleh aplikasi mudah alih CSC, CSC Go. API membolehkan aplikasi dan peranti berkomunikasi antara satu sama lain melalui internet. Dalam kes ini, pelanggan membuka aplikasi CSC Go untuk menambahkan dana ke akaun mereka, membayar, dan memulakan kitaran basuh pada mesin berdekatan.

Sherbrooke dan Taranenko mendapati bahawa pelayan CSC boleh dikelirukan untuk menerima arahan yang mengubah baki akaun mereka kerana sebarang pemeriksaan keselamatan dilakukan oleh aplikasi di peranti pengguna dan secara automatik dipercayai oleh pelayan CSC. Ini membolehkan mereka membayar basuh tanpa sebenarnya menambah dana sebenar ke akaun mereka.

Dengan menganalisis trafik rangkaian semasa log masuk dan menggunakan aplikasi CSC Go, Sherbrooke dan Taranenko mendapati mereka boleh mengelakkan pemeriksaan keselamatan aplikasi dan menghantar arahan langsung ke pelayan CSC, yang tidak tersedia melalui aplikasi itu sendiri.

Penjual teknologi seperti CSC akhirnya bertanggungjawab untuk memastikan pelayan mereka melakukan pemeriksaan keselamatan yang tepat; jika tidak, ini sama seperti memiliki sebuah peti besi bank yang dilindungi oleh pengawal yang tidak mengambil kira siapa yang dibenarkan masuk.

Para penyelidik mengatakan sesiapa pun boleh membuat akaun pengguna CSC Go dan menghantar arahan menggunakan API kerana pelayan juga tidak memeriksa jika pengguna baru memiliki alamat e-mel mereka. Para penyelidik menguji ini dengan membuat akaun CSC baru dengan alamat e-mel yang diada.

Dengan akses langsung ke API dan merujuk kepada senarai arahan CSC yang diterbitkan sendiri untuk berkomunikasi dengan pelayan mereka, para penyelidik mengatakan ia adalah mungkin untuk mencari dan berinteraksi secara berjauhan dengan “setiap mesin basuh di rangkaian yang disambungkan CSC ServiceWorks.”

Dalam praktikalnya, pencucian pakaian secara percuma mempunyai pembangkitan yang jelas. Tetapi para penyelidik menekankan bahaya-bahaya yang mungkin timbul dengan mempunyai alat-alat berat yang terhubung ke internet dan terdedah kepada serangan. Sherbrooke dan Taranenko mengatakan mereka tidak tahu jika menghantar arahan melalui API boleh mengelakkan sekatan keselamatan yang mesin basuh moden dilengkapi untuk mencegah pemanasan berlebihan dan kebakaran. Para penyelidik mengatakan seseorang perlu secara fizikal menekan butang mula mesin basuh itu untuk memulakan kitaran; sehingga itu, tetapan di hadapan mesin basuh tidak boleh diubah kecuali seseorang mereset mesin itu.

CSC secara senyap memadam baki akaun para penyelidik yang berjumlah berjuta-juta dolar selepas mereka melaporkan penemuan mereka, tetapi para penyelidik mengatakan masih mungkin bagi pengguna untuk “membekalkan” diri mereka dengan sebarang jumlah wang.

Taranenko berkata dia kecewa kerana CSC tidak mengakui kelemahan mereka.

“Saya tidak faham bagaimana sebuah syarikat besar membuat kesilapan seperti itu, kemudian tidak mempunyai cara untuk menghubungi mereka,” katanya. “Skenario terburuk, orang dengan mudah boleh memuatkan dompet dan syarikat kehilangan banyak wang. Mengapa tidak menghabiskan jumlah minimum yang diperlukan untuk mempunyai satu peti masuk e-mel keselamatan yang dimonitor untuk situasi seperti ini?”

Tetapi para penyelidik tidak teragak-agak oleh kekurangan respons dari CSC.

“Kerana kita melakukan ini dengan niat baik, saya tidak mengendahkan untuk menghabiskan beberapa jam menunggu di talian untuk menelefon meja bantuan mereka jika itu dapat membantu syarikat dengan isu keselamatannya,” kata Taranenko, menambah bahawa “ia menyeronokkan untuk dapat melakukan penyelidikan keselamatan jenis ini dalam dunia nyata dan bukan hanya dalam pertandingan simulasi.”

Dikemas kini pada 22 Mei dengan komen selepas penerbitan dari CSC.