Ein Paar Universitätsstudenten sagt, sie hätten Anfang dieses Jahres eine Sicherheitslücke entdeckt und gemeldet, die es jedem ermöglichte, an über einer Million internetverbundenen Waschmaschinen vorbei zu bezahlen.
Der Anbieter, CSC ServiceWorks, ignorierte wiederholt Anfragen, die Lücke zu beheben.
Nach Veröffentlichung gab CSC TechCrunch eine Erklärung ab und entschuldigte sich dafür, nicht früher geantwortet zu haben, und dankte den Studenten für die Meldung ihrer Ergebnisse. CSC fügte hinzu, dass es in mehrere Initiativen investiere, die das Unternehmen stärken und widerstandsfähiger gegen zukünftige Vorfälle machen würden.
UC Santa Cruz Studenten Alexander Sherbrooke und Iakov Taranenko erzählten TechCrunch, dass die von ihnen entdeckte Schwachstelle es jedem ermöglichte, Befehle an von CSC betriebene Waschmaschinen zu senden und Waschzyklen kostenlos zu betreiben.
Sherbrooke sagte, er habe in den frühen Morgenstunden eines Januartages auf dem Boden seines Kellerraums gesessen, seinen Laptop in der Hand, und hatte plötzlich einen 'Oh s**t'-Moment. Von seinem Laptop aus führte Sherbrooke ein Skript mit Anweisungen aus, das der Maschine vor ihm mitteilte, einen Zyklus zu starten, obwohl in seinem Wäsche-Konto $0 vorhanden waren. Die Maschine erwachte sofort mit einem lauten Piepton und zeigte 'START DRÜCKEN' auf ihrem Display an, was darauf hindeutete, dass die Maschine bereit war, eine kostenlose Ladung Wäsche zu waschen.
In einem anderen Fall fügten die Studenten ihrem Wäsche-Konto einen scheinbaren Betrag von mehreren Millionen Dollar hinzu, der in ihrer CSC Go-App als völlig normaler Betrag für ein Student aussehen sollte, um ihn für Wäsche auszugeben.
CSC ServiceWorks ist ein großes Wäschedienstunternehmen, das mit einem Netzwerk von über einer Million installierten Waschmaschinen in Hotels, Universitäten und Wohnungen in den USA, Kanada und Europa wirbt.
Weil CSC ServiceWorks keine eigene Sicherheitsseite für die Meldung von Sicherheitslücken hatte, sendeten Sherbrooke und Taranenko dem Unternehmen im Januar mehrere Nachrichten über das Online-Kontaktformular, erhielten aber keine Rückmeldung. Ein Anruf bei dem Unternehmen brachte ihnen auch nichts ein, sagten sie.
Die Studenten sandten ihre Ergebnisse auch an das CERT Coordination Center an der Carnegie Mellon University, das Sicherheitsforschern hilft, Schwachstellen betroffenen Anbietern zu melden und Fixes sowie Anleitungen für die Öffentlichkeit bereitzustellen.
Die Studenten machen nun mehr über ihre Ergebnisse bekannt, nachdem sie länger als die üblichen drei Monate gewartet haben, die Sicherheitsforscher den Anbietern gewöhnlich geben, um Sicherheitslücken zu beheben, bevor sie an die Öffentlichkeit gehen. Das Duo gab ihre Forschung erstmals bei einer Präsentation im Mai vor ihrem universitären Cybersicherheitsclub bekannt.
Es ist unklar, wer, falls überhaupt, die Cybersicherheit bei CSC überwacht, und Vertreter von CSC haben vor der Veröffentlichung dieser Geschichte nicht auf Anfragen von TechCrunch geantwortet.
Tage nach der Veröffentlichung dieser Geschichte gab CSC eine Erklärung ab, in der sie den Sicherheitsforschern dankte. 'Wir möchten Herrn Sherbrooke und Herrn Taranenko für ihre Beiträge danken, die Unternehmen wie CSC ServiceWorks und deren Interessengruppen sicherer machen. Wir entschuldigen uns dafür, dass wir nicht zeitnah auf sie reagiert haben', sagte Stephen Gilbert, Marketing-Vizepräsident von CSC.
CSC sagte, das Unternehmen 'habe eng mit unseren Lieferantenanbietern zusammengearbeitet, um dieses Problem zu beheben', und CSC aktualisiere auch seine Website, um ein Sicherheitsmeldungsformular aufzunehmen, das es dem Unternehmen ermögliche, 'Sicherheitsbedenken, die uns von der Öffentlichkeit mitgeteilt werden, sofort zu überprüfen und zu adressieren'.
Die Studentenforscher sagten, sie hätten die Schwachstelle in der API entdeckt, die von der mobilen App von CSC, CSC Go, verwendet wird. Eine API ermöglicht es Apps und Geräten, über das Internet miteinander zu kommunizieren. In diesem Fall öffnet der Kunde die CSC Go-App, um sein Konto mit Geld aufzuladen, zu bezahlen und einen Wäscheladung auf einer nahegelegenen Maschine zu starten.
Sherbrooke und Taranenko entdeckten, dass CSC's Server getäuscht werden konnten, Befehle zu akzeptieren, die ihre Kontostände ändern, weil Sicherheitsprüfungen von der App auf dem Gerät des Benutzers durchgeführt werden und automatisch von CSC's Servern vertraut werden. Das ermöglichte es ihnen, für Wäsche zu bezahlen, ohne tatsächlich echte Gelder auf ihre Konten zu setzen.
Indem sie den Netzwerkverkehr analysierten, während sie in der CSC Go-App angemeldet waren und diese verwendeten, fanden Sherbrooke und Taranenko heraus, dass sie die Sicherheitsüberprüfungen der App umgehen und Befehle direkt an die Server von CSC senden konnten, die nicht über die App selbst verfügbar sind.
Technologieanbieter wie CSC sind letztendlich dafür verantwortlich, sicherzustellen, dass ihre Server die richtigen Sicherheitsüberprüfungen durchführen; andernfalls ist es so, als ob ein Banktresor von einem Wächter geschützt wird, der sich nicht die Mühe macht zu überprüfen, wer eingelassen werden darf.
Die Forscher sagten, potenziell könne jeder ein CSC Go-Benutzerkonto erstellen und Befehle über die API senden, weil die Server auch nicht überprüfen, ob neue Benutzer ihre E-Mail-Adressen besaßen. Die Forscher testeten dies, indem sie ein neues CSC-Konto mit einer erfundenen E-Mail-Adresse erstellten.
Mit direktem Zugriff auf die API und unter Bezugnahme auf CSC's eigene veröffentlichte Liste von Befehlen für die Kommunikation mit seinen Servern, sagten die Forscher, es sei möglich, 'jede Waschmaschine im CSC ServiceWorks-Netzwerk' remote zu lokalisieren und damit zu interagieren.
Die Forscher betonten die potenziellen Gefahren von schweren Geräten, die mit dem Internet verbunden sind und anfällig für Angriffe sind, obwohl die kostenlose Wäsche offensichtlich Vorteile hat. Sherbrooke und Taranenko sagten, sie wüssten nicht, ob die Übermittlung von Befehlen über die API die Sicherheitsbeschränkungen umgehen könne, die moderne Waschmaschinen haben, um Überhitzung und Brände zu verhindern. Die Forscher sagten, jemand müsste physisch den Startknopf der Waschmaschine drücken, um einen Zyklus zu starten; solange das nicht geschieht, können die Einstellungen an der Vorderseite der Waschmaschine nicht geändert werden, es sei denn, jemand setzt die Maschine zurück.
CSC löschte lautlos das Kontoguthaben der Forscher von mehreren Millionen Dollar, nachdem sie ihre Ergebnisse gemeldet hatten, aber die Forscher sagten, es sei immer noch möglich, dass Benutzer sich 'frei' beliebige Geldbeträge geben könnten.
Taranenko sagte, er sei enttäuscht, dass CSC ihre Schwachstelle nicht anerkannt habe. 'Ich verstehe einfach nicht, wie ein so großes Unternehmen solche Fehler macht und dann keine Möglichkeit hat, sie zu kontaktieren', sagte er. 'Im schlimmsten Fall können Menschen leicht ihre Geldbörsen aufladen und das Unternehmen verliert eine Menge Geld. Warum nicht das Minimum ausgeben, um eine einzige überwachte Sicherheits-E-Mail-Inbox für diese Art von Situation zu haben?'
Aber die Forscher lassen sich durch die mangelnde Reaktion von CSC nicht abschrecken. 'Da wir dies in gutem Glauben tun, habe ich nichts dagegen, ein paar Stunden in der Warteschleife zu verbringen, um ihren Helpdesk anzurufen, wenn das einem Unternehmen mit seinen Sicherheitsproblemen helfen würde', sagte Taranenko und fügte hinzu, dass es 'Spaß macht, diese Art von Sicherheitsforschung in der realen Welt zu betreiben und nicht nur bei simulierten Wettbewerben'.
Aktualisiert am 22. Mai mit nach Veröffentlichung abgegebener Stellungnahme von CSC.
Wie ein einfacher Sicherheitsfehler zu einem 'Generalschlüssel' auf dem Universitätscampus wurde
