Ocak ayında, UC Santa Cruz’dan iki öğrenci CSC ServiceWorks’ün sahip olduğu ve işlettiği internet bağlantılı çamaşır makinelerinin neredeyse sınırsız ücretsiz yıkama döngüsü sunmasını sağlamanın bir yolunu keşfetti. Alexander Sherbrooke ve Iakov Taranenko, CSC’nin mobil uygulaması aracılığıyla özel bir komut dosyası çalıştırdılar ve sunucularındaki güvenlik kontrollerini atladılar.
Günümüzde her şey internete bağlı. Çok uzun zaman önce bir kullanıcı, LG çamaşır makinesinin her gün gigabaytlarca veri gönderdiğini keşfetti. CSC internet bağlantılı çamaşır makineleri, kullanıcıların uygulamayı indirmesini, bir hesap oluşturmasını ve bu kullanıcılar için çamaşır yıkama döngülerini etkinleştirmek için para eklemesini gerektiriyor. Öğrenciler, uygulamada, sunucuların bağlı hesaplar için, bu hesaplarda para olmasa bile yıkama döngülerine izin vermesine neden olan güvenlik kusurunu keşfettiler. Öğrenciler ayrıca hesaplarından birine birkaç milyon dolar değerinde kredi ekleyebiliyor ve bu da CSC Go mobil uygulamasına yansıyor.
CSC ServiceWorks, Amerika Birleşik Devletleri, Kanada ve Avrupa’da faaliyet gösteren büyük bir şirkettir. Çoklu konut topluluklarına, benzin istasyonlarına, marketlere, sakinlere, otellere, tatil köylerine, çamaşırhanelere, kolejlere ve üniversitelere hitap etmektedir. Bu kadar geniş bir ağa sahip olmasına rağmen CSC ServiceWorks’ün güvenlik kusurlarını bildirecek bir sayfası yoktu. Sherbrooke ve Taranenko, Ocak ayında çevrimiçi iletişim formu aracılığıyla şirketle iletişime geçti ve müşteri hizmetleriyle görüştü ancak herhangi bir yanıt alamadılar.
Öğrenciler sonunda bulgularını Carnegie Mellon Üniversitesi’ndeki CERT Koordinasyon Merkezi’ne sundular. Üç aydan fazla bekledikten sonra ikili, raporlarını Mayıs ayında siber güvenlik kulüplerinde yayınladı. Öğrencilere göre CSC, sonunda hesaplarındaki kredileri silmiş ancak bu güvenlik açığını kapatmamıştır.
Dezavantajı, şirketin milyonlarca kayba uğramasına neden olacak ücretsiz çamaşır yıkama döngüleri olduğu düşünülebilir, ancak bunları atlatmak için hain niyetleri olanlar her zaman çok daha kötüsünü yapmanın yollarını bulabilirler. Öğrenciler, kusurlu API’nin güvenlik kısıtlamalarını atlayabileceğini ve potansiyel olarak yangın tehlikesi yaratabileceğini söyledi. Yama yapılmadan bırakılırsa, kötü niyetli aktörlerin Sherbrooke ve Taranenko’nun güvenlik açığından yararlanmaya yönelik senaryosunu deşifre etmesi an meselesi.
