Dois estudantes encontram bug de segurança que pode permitir que milhões de pessoas lavem roupa de graça

Uma falha na segurança poderia permitir que milhões de estudantes universitários lavassem roupa de graça, graças a uma empresa. Isso se deve a uma vulnerabilidade que dois estudantes da Universidade da Califórnia, em Santa Cruz, encontraram em máquinas de lavar conectadas à Internet em uso comercial em vários países, de acordo com TechCrunch.

Os dois estudantes, Alexander Sherbrooke e Iakov Taranenko, aparentemente exploraram uma API do aplicativo das máquinas para fazer coisas como comandá-las remotamente para trabalhar sem pagamento e atualizar uma conta de lavanderia para mostrar que havia milhões de dólares nela. A empresa proprietária das máquinas, CSC ServiceWorks, afirma ter mais de um milhão de máquinas de lavar e de venda automática em serviço em faculdades, comunidades com vários alojamentos, lavanderias e muito mais nos EUA, Canadá e Europa.

A CSC nunca respondeu quando Sherbrooke e Taranenko relataram a vulnerabilidade por e-mail e telefonema em janeiro. TechCrunch escreve. Apesar disso, os estudantes disseram ao veículo que a empresa “eliminou silenciosamente” seus falsos milhões depois que a contataram.

A falta de resposta levou-os a contar aos outros sobre as suas descobertas. Isso inclui que a empresa tenha uma lista de comandos publicada, que os dois contaram TechCrunch permite a conexão com todas as máquinas de lavar roupa conectadas em rede da CSC. CSC ServiceWorks não respondeu imediatamente a A beira’s pedido de comentário.

A vulnerabilidade do CSC é um bom lembrete de que a situação de segurança na Internet das Coisas ainda não está resolvida. Pela exploração que os estudantes descobriram, talvez a CSC assuma o risco, mas em outros casos, práticas negligentes de segurança cibernética tornaram possível que hackers ou empresas contratadas visualizassem imagens de câmeras de segurança de estranhos ou obtivessem acesso a tomadas inteligentes.

Freqüentemente, os pesquisadores de segurança encontram essas falhas de segurança e as relatam antes que possam ser exploradas em liberdade. Mas isso não ajuda se a empresa responsável por eles não responder.

theverge