Уязвимость в системе прачечных CSC ServiceWorks вызвала много вопросов к службе безопасности компании.
Студенты Калифорнийского университета в Санта-Крузе Александр Шербрук и Яков Тараненко выявили опасную уязвимость в системе оплаты прачечных компании CSC ServiceWorks, которая позволяет любому использовать машины бесплатно. Несмотря на неоднократные обращения студентов к компании, проблема до сих пор не устранена. Об этом сообщило издание TechCrunch, которому студенты рассказали о ситуации.
В январе Шербрук сидел на полу в прачечной с ноутбуком, когда внезапно осознал масштаб проблемы. Он запустил скрипт, который дал команду машине начать стирку, хотя на его счету было $0. Машина сразу же среагировала, издав громкий сигнал и отобразив свою готовность к стирке (осталось только нажать на «СТАРТ»). В другом случае студенты добавили несколько миллионов долларов на один из своих счетов в мобильном приложении CSC Go.
Компания CSC ServiceWorks управляет более миллионом прачечных в отелях, университетах и жилых комплексах по всему миру. Однако у компании нет выделенной страницы для сообщений об уязвимостях, и студенты отправляли сообщения через форму обратной связи на сайте. Они также звонили в компанию, но все попытки связаться с CSC оказались безрезультатными.
Студенты передали свои находки в Центр координации CERT в Университете Карнеги-Меллона, который помогает исследователям сообщать о уязвимостях и предлагает решения. Однако прошло уже больше 3 месяцев, и проблема остается нерешенной. Исследования были представлены на встрече университетского клуба по кибербезопасности в начале мая.
Также отмечается, что у компании есть опубликованный список команд, который позволяет подключаться ко всем подключенным к сети стиральным машинам CSC.
Неясно, кто отвечает за кибербезопасность в CSC, и представители компании не ответили на запросы TechCrunch. Уязвимость связана с API мобильного приложения CSC Go, которое позволяет пользователям пополнять счета и запускать стирку. Студенты обнаружили, что серверы CSC можно обмануть, отправив команды, изменяющие баланс счета, потому что проверки безопасности проводятся на устройстве пользователя, а не на сервере.
Проанализировав сетевой трафик, студенты смогли обойти проверки безопасности приложения и отправить команды непосредственно на серверы CSC, что позволило запустить стирку, не пополняя свой счет реальными деньгами. Кроме того, серверы CSC не проверяют, принадлежит ли новая учетная запись реальному человеку, что позволяет создавать поддельные аккаунты.
Исследователи предупреждают, что такая уязвимость может привести к серьезным последствиям, особенно если злоумышленники получат доступ к тяжелому оборудованию, подключенному к интернету. Хотя для начала цикла стирки нужно физически нажать кнопку на машине, настройки можно сбросить.
После сообщения об уязвимости компания CSC аннулировала баланс счетов студентов, но саму проблему не устранила. Тараненко выразил разочарование тем, что компания проигнорировала их предупреждения.
«Меня удивляет, как такая большая компания допускает такие ошибки и не имеет способа для связи по вопросам безопасности. В худшем случае люди смогут пополнять свои счета на большие суммы, и компания потеряет много денег. Почему бы не создать хотя бы один почтовый ящик для таких сообщений?», – заявил Тараненко.
Студенты заявили, что, несмотря на отсутствие реакции со стороны CSC, они не теряют энтузиазма и готовы ждать ответа службы поддержки.
Приватность — это право, а не роскошь.
Подпишитесь на наш канал и защитите свои права
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.
