Falha de Segurança Permite que Estudantes Universitários Façam Lavagem Grátis
Uma vulnerabilidade descoberta por dois estudantes da Universidade da Califórnia, Santa Cruz, pode permitir que milhões de estudantes universitários usufruam de serviços de lavanderia gratuitamente. A falha de segurança foi encontrada em máquinas de lavar conectadas à internet, utilizadas em diversos países pela empresa CSC ServiceWorks.
Estudantes Exploram Falha na API
Os estudantes Alexander Sherbrooke e Iakov Taranenko descobriram que era possível explorar a API das máquinas de lavar para realizar ações remotamente, como comandá-las a funcionar sem pagamento e atualizar a conta de lavanderia para exibir milhões de dólares. A CSC ServiceWorks, proprietária das máquinas, alega ter mais de um milhão de máquinas de lavar e vending machines em uso em faculdades, comunidades residenciais e lavanderias nos Estados Unidos, Canadá e Europa.
Empresa Não Respondeu aos Relatos
Segundo a reportagem da The Verge, Sherbrooke e Taranenko tentaram informar a CSC ServiceWorks sobre a vulnerabilidade por e-mail e ligação telefônica em janeiro, mas a empresa não respondeu. Mesmo assim, os estudantes afirmam que a empresa “apagou silenciosamente” os milhões de dólares falsos depois que eles entraram em contato.
Falha Expõe Problemas de Segurança do IoT
A vulnerabilidade encontrada nas máquinas de lavar da CSC ServiceWorks é um lembrete de que a segurança do Internet of Things (IoT) ainda não está totalmente resolvida. Nesse caso, a responsabilidade pode recair sobre a empresa, mas em outras situações, práticas de cibersegurança negligentes podem permitir que hackers ou contratados da empresa acessem câmeras de segurança de estranhos ou obtenham controle de dispositivos inteligentes.
Importância de Responder a Pesquisadores de Segurança
Muitas vezes, pesquisadores de segurança descobrem essas falhas e as reportam antes que possam ser exploradas. No entanto, isso não é útil se a empresa responsável não responder. A falta de resposta da CSC ServiceWorks levou os estudantes a divulgar suas descobertas, o que pode ter consequências negativas para a empresa.
Conclusão
A falha de segurança encontrada nas máquinas de lavar da CSC ServiceWorks demonstra a importância de as empresas de tecnologia investirem em cibersegurança e responderem prontamente a pesquisadores que reportam vulnerabilidades. Caso contrário, podem enfrentar situações em que seus produtos e serviços são explorados, gerando prejuízos e danos à reputação.
Referências
DAVIS, Wes. Students find security bug that could let millions of college students do free laundry. The Verge, 19 de maio de 2024.