Eine Sicherheitsverletzung könnte es Millionen von Studenten ermöglichen, dank eines einzigen Unternehmens kostenlos Wäsche zu waschen. Dies ist auf eine Schwachstelle zurückzuführen, die zwei Studenten der University of California, Santa Cruz, in Waschmaschinen mit Internetverbindung entdeckt haben, die in mehreren Ländern für kommerzielle Zwecke genutzt werden TechCrunch.
Die beiden Studenten, Alexander Sherbrooke und Iakov Taranenko, nutzten offenbar eine API für die Maschinen, um ihnen aus der Ferne zu befehlen, ohne Bezahlung zu arbeiten und ein Wäschereikonto zu aktualisieren, um anzuzeigen, dass darauf Millionen von Dollar lagen. Das Unternehmen, dem die Maschinen gehören, CSC ServiceWorks, gibt an, mehr als eine Million Wäschereien und Verkaufsautomaten in Hochschulen, Mehrfamilienhäusern, Waschsalons und mehr in den Vereinigten Staaten, Kanada und Europa im Einsatz zu haben.
CSC reagierte nie, als Sherbrooke und Taranenko die Sicherheitslücke im Januar per E-Mail und Telefon meldeten. TechCrunch Schreiben. Trotzdem teilten die Studenten der Verkaufsstelle mit, dass das Unternehmen ihre gefälschten Millionen nach Kontaktaufnahme „stillschweigend gelöscht“ habe.
Die ausbleibende Reaktion veranlasste sie dazu, ihre Ergebnisse anderen mitzuteilen. Dazu gehört auch, dass das Unternehmen eine Auftragsliste veröffentlichte, die beide deklarierten. TechCrunch ermöglicht die Verbindung mit allen Waschmaschinen, die an das CSC-Netzwerk angeschlossen sind. CSC ServiceWorks reagierte nicht sofort Die Kante’Bitte um Feedback.
Die CSC-Schwachstelle erinnert uns daran, dass die Sicherheitslage im Internet der Dinge immer noch nicht gelöst ist. Für den von den Studenten entdeckten Exploit übernimmt CSC möglicherweise das Risiko, aber in anderen Fällen haben laxe Cybersicherheitspraktiken es Hackern oder Auftragnehmern von Unternehmen ermöglicht, die Aufnahmen der Überwachungskameras von Fremden einzusehen oder Zugang zu intelligenten Steckdosen zu erhalten.
Häufig entdecken Sicherheitsforscher diese Sicherheitslücken und melden sie, bevor sie ausgenutzt werden können. Aber es nützt nichts, wenn das verantwortliche Unternehmen nicht reagiert.