Студенты нашли в работе мобильного сервиса прачечных CSC ServiceWorks баг, который позволяет бесплатно стирать вещи

Два студента-исследователя Калифорнийского университета в Санта-Крузе Александр Шербрук и Яков Тараненко обнаружили в работе мобильного сервиса CSC GO Laundry сети прачечных CSC ServiceWorks уязвимость, которая позволяет неограниченное количество раз бесплатно пользоваться стиральными машинами.

Пользователи, желающие воспользоваться услугами стирки, должны установить на свой смартфон приложение CSC Go, пополнить баланс, и только тогда они смогут запустить цикл стирки на стиральной машине CSC ServiceWork. Эта компания уже более 90 лет предлагает сервис стирки в жилых домах, отелях и кампусах колледжей в США, Канаде и Европе.

Всё началось в январе этого года, когда Шербрук рано утром сидел в прачечной в подвале со своим ноутбуком. Не имея средств на счету, он попытался запустить скрипт, который позволял стиральной машине удалённо активировать новый цикл стирки, и это сработало. Машина сразу же проснулась с громким звуковым сигналом и на дисплее появилось сообщение «НАЖМИТЕ СТАРТ», указывая на то, что машина готова к бесплатной стирке белья.

Кроме того, студенты смогли изменить с помощью скрипта баланс до миллиона долларов на один из своих аккаунтов в приложении CSC Mobile Go. Причём в системе не было никаких ограничений по этому балансу, как будто это совершенно нормальная сумма денег, которую студент может потратить на стирку.

По словам студентов, компания CSC ServiceWorks по-прежнему игнорирует существование этой уязвимости и отвергает запросы на необходимость её исправления. В начале января студенты пытались связаться с CSC ServiceWorks по нескольким каналам, например, отправив несколько сообщений через онлайн-форму обратной связи и сделав телефонный звонок, который остался без ответа.

Оказалось, что у CSC ServiceWorks нет