A principios de este año, dos estudiantes universitarios descubrieron e informaron sobre una falla de seguridad que permitiría a cualquiera lavar su ropa en más de 1 millón de lavadoras conectadas a Internet sin tener que pagar.
El proveedor, CSC ServiceWorks, ignoró repetidamente las solicitudes para reparar los defectos.
Después de la publicación del artículo, CSC emitió un comunicado a TechCrunch disculpándose por no haber actuado antes y agradeciendo a los estudiantes que informaron sus hallazgos. CSC agregó que está “invirtiendo en varias iniciativas para fortalecer nuestra organización y hacerla más resistente en materia de seguridad contra futuros incidentes”.
Alexander Sherbrooke e Iakov Taranenko, estudiantes de la Universidad de California en Santa Cruz, dicen que la vulnerabilidad que descubrieron permite a cualquiera enviar comandos de forma remota a lavadoras operadas por CSC y controlar sus ciclos de lavado de forma gratuita. Le dijo a TechCrunch que ahora es posible hacerlo.
Sherbrooke dijo que estaba sentado en el suelo de la lavandería de su sótano con su computadora portátil una mañana de enero cuando “de repente pensé: ‘Esto se acabó'”. Desde su computadora portátil, el Sr. Sherbrooke ejecutó un código que le decía a la lavadora frente a él que iniciara un ciclo, a pesar de que solo había $0 en su cuenta de lavandería. La lavadora se puso en marcha inmediatamente con un pitido fuerte y mostró “PUSH START” en la pantalla, lo que indica que la lavadora estaba lista para comenzar a lavar la ropa.
En otro caso, los estudiantes depositaron un saldo multimillonario en una de sus cuentas de lavandería, pero el saldo se mostraba en la aplicación móvil CSC Go como si fuera una cantidad perfectamente normal para que un estudiante gastara en lavandería. sigue.
CSC ServiceWorks es una empresa líder en servicios de lavandería con una red de más de 1 millón de máquinas de lavandería instaladas en hoteles, campus universitarios y residencias en todo Estados Unidos, Canadá y Europa.
CSC Serviceworks no tenía una página de seguridad dedicada para informar vulnerabilidades de seguridad, por lo que Sherbrooke y Taranenko enviaron mensajes a la compañía varias veces a través de su formulario de contacto en línea en enero, pero no recibieron respuesta. Ambos hombres dijeron que llamaron a la empresa pero no recibieron respuesta.
Los estudiantes también enviaron sus hallazgos al Centro de Coordinación CERT de la Universidad Carnegie Mellon, que ayuda a los investigadores de seguridad a exponer fallas a los proveedores afectados y brindar soluciones y orientación al público.
Los estudiantes revelaron más detalles sobre sus hallazgos después de que los investigadores de seguridad esperaran más que el período de gracia habitual de tres meses para que los proveedores publicaran correcciones para las fallas. La pareja hizo públicos sus hallazgos por primera vez a principios de mayo durante una presentación en el club de ciberseguridad de la universidad.
No está claro quién supervisa la ciberseguridad de CSC y un representante de CSC no respondió a la solicitud de comentarios de TechCrunch antes de la publicación.
Unos días después de la publicación de este artículo, CSC emitió un comunicado agradeciendo a los investigadores de seguridad. “Nos gustaría agradecer al señor Sherbrooke y al señor Taranenko por su compromiso para mejorar la seguridad de empresas como CSC ServiceWorks y sus partes interesadas. Nos disculpamos por no poder responder más rápidamente”, dijo el vicepresidente de marketing de CSC. Esteban Gilbert.
CSC dijo que “trabajó estrechamente con nuestro proveedor para resolver este problema”. CSC también actualizó su sitio web para incluir un formulario de informes de seguridad y “abordó las preocupaciones de seguridad planteadas por el público”.
Los estudiantes investigadores dicen que descubrieron una vulnerabilidad en una API utilizada en la aplicación móvil de CSC, CSC Go. Las API permiten que las aplicaciones y los dispositivos se comuniquen entre sí a través de Internet. En este caso, los clientes abren la aplicación CSC Go, cargan fondos en su cuenta, realizan un pago y comienzan a lavar en una lavadora cercana.
Sherbrooke y Taranenko dijeron que los controles de seguridad se realizan mediante una aplicación en el dispositivo de un usuario y los servidores de CSC confían automáticamente en ellos, lo que hace posible que se engañe a los servidores de CSC para que acepten comandos para cambiar los saldos de las cuentas. Esto me permitió pagar la ropa sin tener que depositar dinero en mi cuenta.
Al analizar el tráfico de la red mientras estaban conectados y usando la aplicación CSC Go, Sherbrooke y Taranenko pasaron por alto los controles de seguridad de la aplicación y enviaron comandos directamente a los servidores de CSC a los que no se podía acceder desde la aplicación misma.
Los proveedores de tecnología como CSC son, en última instancia, responsables de garantizar que sus servidores ejecuten los controles de seguridad adecuados. Si no, es como tener la bóveda de un banco protegida por guardias que no controlan quién puede entrar.
Los investigadores también señalan que los servidores no verifican que los nuevos usuarios posean sus propias direcciones de correo electrónico, lo que significa que cualquiera podría crear una cuenta de usuario de CSC Go y enviar comandos utilizando la API. Los investigadores probaron esto creando una nueva cuenta CSC con una dirección de correo electrónico ficticia.
Al acceder directamente a la API y consultar la lista de comandos patentada de CSC para comunicarse con el servidor, los investigadores pudieron localizar y operar de forma remota “todas las lavadoras en la red conectada de CSC ServiceWorks”.
Siendo realistas, lavar la ropa gratis tiene claras ventajas. Pero los investigadores destacaron los peligros potenciales de conectar grandes electrodomésticos a Internet, haciéndolos vulnerables a ataques. Sherbrooke y Taranenko dijeron que no saben si enviar comandos a través de API puede eludir las restricciones de seguridad que tienen las lavadoras modernas para evitar el sobrecalentamiento y los incendios. Según los investigadores, alguien debe presionar físicamente el botón de inicio de la lavadora para iniciar el ciclo de lavado. Hasta entonces, la configuración en la parte frontal de la lavadora no se puede cambiar a menos que alguien reinicie la máquina.
CSC borró en secreto millones de dólares en los saldos de las cuentas de los investigadores después de que informaron sus hallazgos, pero los investigadores dijeron que los usuarios podían donarles “libremente” tanto dinero como quisieran. Dice que todavía es posible hacerlo.
Taranenko dijo que estaba decepcionado de que el CSC no reconociera su vulnerabilidad.
“Es incomprensible que una empresa de este tamaño pueda cometer un error como este y no tener medios de comunicación”, afirma. “En el peor de los casos, la gente podría fácilmente poner dinero en sus billeteras y la empresa perdería una enorme cantidad de dinero. Para estar preparados para tal situación, con un costo mínimo, una bandeja de entrada de correo electrónico supervisada. “
Pero los investigadores no se inmutan ante la falta de respuesta del CSC.
“Hacemos esto de buena fe, por lo que no nos importa tener que esperar varias horas para llamar a nuestro servicio de asistencia si ayuda a la empresa con sus problemas de seguridad”, dijo Taranenko. “Es divertido poder realizar este tipo de seguridad. investigación en el mundo real, no sólo en una competencia simulada.”
Actualizado con comentarios posteriores a la publicación de CSC el 22 de mayo.
Fuente: https://techcrunch.com/2024/05/17/csc-serviceworks-free-laundry-million-machines/