Millones de estudiantes universitarios podrán lavar la ropa gratis gracias a una empresa gracias a un fallo de seguridad. Según TechCrunch, dos estudiantes de la Universidad de California en Santa Cruz descubrieron una vulnerabilidad en las lavadoras conectadas a Internet que se utilizan comercialmente en varios países.
Dos estudiantes, Alexander Sherbrooke e Iakov Taranenko, aparentemente abusaron de la API de la aplicación de la máquina para ordenarle de forma remota que realizara trabajos no remunerados y actualizara las cuentas de lavandería por millones de dólares. Parece que estaba haciendo parecer que tenía un saldo de . CSC Service Works, la empresa propietaria de las máquinas, afirma tener más de 1 millón de máquinas de lavandería y máquinas expendedoras en funcionamiento en universidades, complejos de apartamentos, lavanderías, etc. en Estados Unidos, Canadá y Europa.
Según un artículo de TechCrunch, CSC no respondió cuando Sherbrooke y Taranenko informaron de la vulnerabilidad por correo electrónico y teléfono en enero. Sin embargo, los estudiantes dijeron al medio que después de contactar a la empresa, ésta “borró silenciosamente” millones de dólares en dinero falso.
Al no recibir respuestas, decidieron compartir sus hallazgos con otros. Los hallazgos incluyen que la compañía publique una lista de comandos que, según le dijeron a TechCrunch, les permiten conectarse a todas las lavadoras en red de CSC. CSC ServiceWorks no respondió de inmediato a la solicitud de comentarios de The Verge.
La vulnerabilidad del CSC es un recordatorio de que la situación de seguridad del Internet de las cosas aún no está resuelta. Si bien CSC puede estar en riesgo por las vulnerabilidades descubiertas por los estudiantes, en otros casos los piratas informáticos o los contratistas de la empresa tienen acceso a imágenes de cámaras de seguridad de otras personas debido a medidas insuficientes de ciberseguridad y acceso a enchufes inteligentes.
Los investigadores de seguridad a menudo descubren estos agujeros de seguridad y los informan antes de que puedan ser explotados. Pero no ayudará si las empresas responsables no responden.
Fuente: https://www.theverge.com/2024/5/19/24160383/students-security-bug-laundry-machines-csc-serviceworks