详细内容或原文请订阅后点击阅览
学生如何在不花一分钱的情况下黑掉一百万台洗衣机
Уязвимость в системе прачечных CSC ServiceWorks вызвала много вопросов к службе безопасности компании。
来源:安全实验室新闻频道CSC ServiceWorks 洗衣系统中的漏洞给该公司的安全服务带来了许多问题。
加州大学圣克鲁斯分校的学生 Alexander Sherbrooke 和 Yakov Taranenko 发现了 CSC ServiceWorks 洗衣支付系统中的一个危险漏洞,该系统允许任何人免费使用这些机器。尽管学生多次向公司提出要求,但问题仍未得到解决。 TechCrunch 报道了这一情况,学生们向其讲述了这一情况。
报告 TechCrunch一月份,舍布鲁克拿着笔记本电脑坐在洗衣房的地板上,突然意识到问题的严重性。他运行了一个脚本,命令机器开始清洗,尽管他的账户里有 0 美元。机器立即响应,发出响亮的信号,表明已准备好清洗(剩下的就是按“开始”)。在另一个案例中,学生们在 CSC Go 移动应用程序上向他们的一个账户添加了数百万美元。
CSC ServiceWorks 在世界各地的酒店、大学和公寓大楼运营着超过 100 万家洗衣店。不过,该公司没有专门的漏洞报告页面,学生通过网站上的反馈表提交报告。他们还致电该公司,但所有联系 CSC 的尝试均未成功。
学生们将他们的发现提交给卡内基梅隆大学 CERT 协调中心,该中心帮助研究人员报告漏洞并提出解决方案。然而3个多月过去了,问题仍未解决。该研究于五月初在该大学网络安全俱乐部的一次会议上提出。
还值得注意的是,该公司已发布命令列表,允许其连接到所有联网的 CSC 洗衣机。
已发布报告漏洞后,CSC取消了学生账户余额,但没有修复问题。塔拉年科对该公司忽视他们的警告表示失望。