Dua siswa menemukan kelemahan keamanan yang memungkinkan jutaan orang mencuci pakaian secara gratis

Kerentanan dapat memungkinkan jutaan mahasiswa mencuci pakaian mereka secara gratis, berkat satu perusahaan. Hal ini disebabkan oleh kerentanan yang ditemukan oleh dua mahasiswa UC Santa Cruz pada mesin cuci terkoneksi Internet yang digunakan secara komersial di beberapa negara. berdasarkan TechCrunch.dll.

Kedua siswa tersebut, Alexander Sherbrooke dan Yakov Taranenko, tampaknya mengeksploitasi antarmuka pemrograman aplikasi mesin untuk melakukan hal-hal seperti memerintahkan mesin tersebut bekerja secara gratis dari jarak jauh dan memperbarui akun laundry untuk menunjukkan bahwa akun tersebut berisi jutaan dolar. Perusahaan pemilik mesin tersebut, CSC ServiceWorks, mengklaim bahwa mereka adalah pemiliknya Lebih dari satu juta mesin cuci terjual Dalam pelayanan di perguruan tinggi, komunitas multi-perumahan, binatu, dan banyak lagi di Amerika Serikat, Kanada, dan Eropa.

CSC tidak pernah menanggapi ketika Sherbrooke dan Taranenko melaporkan kerentanan tersebut melalui email dan panggilan telepon pada bulan Januari. TechCrunch.dll Dia menulis. Meskipun demikian, para mahasiswa tersebut mengatakan kepada outlet tersebut bahwa perusahaan tersebut “secara diam-diam menghapus” jutaan uang palsu mereka setelah mereka menghubunginya.

Kurangnya tanggapan mendorong mereka untuk memberi tahu orang lain tentang temuan mereka. Ini termasuk yang dimiliki perusahaan Daftar perintah yang diterbitkanyang diriwayatkan oleh keduanya TechCrunch.dll Memungkinkan koneksi ke semua mesin cuci jaringan CSC. CSC ServiceWorks tidak segera merespons tepi’Permintaan komentar.

Kerentanan CSC adalah pengingat yang baik bahwa situasi keamanan sehubungan dengan Internet of Things masih jauh dari terselesaikan. Untuk eksploitasi yang ditemukan oleh para siswa, CSC mungkin telah mengambil risiko, namun dalam kasus lain, praktik keamanan siber yang longgar memungkinkan peretas atau kontraktor perusahaan untuk melihat rekaman kamera keamanan orang asing atau mengakses smart plug.

Seringkali, peneliti keamanan menemukan dan melaporkan kerentanan ini sebelum benar-benar dieksploitasi. Namun hal ini tidak akan membantu jika perusahaan yang bertanggung jawab tidak memberikan tanggapan.