Estudantes Exploram Falha em Máquinas de Lavar Universitárias
Falha de Segurança Permite que Estudantes Universitários Lavem Roupas Gratuitamente
Uma vulnerabilidade descoberta por dois estudantes da Universidade da Califórnia, Santa Cruz, pode permitir que milhões de estudantes universitários usem máquinas de lavar gratuitamente. A falha de segurança foi encontrada em máquinas de lavar conectadas à internet, utilizadas em diversos países pela empresa CSC ServiceWorks.
Estudantes Exploram Falha na API
Os estudantes Alexander Sherbrooke e Iakov Taranenko descobriram que era possível explorar a API das máquinas de lavar para realizar ações remotamente, como comandá-las para funcionar sem pagamento e atualizar a conta de lavanderia para mostrar milhões de dólares. A CSC ServiceWorks, proprietária das máquinas, alega ter mais de um milhão de máquinas de lavar e máquinas de venda em serviço em faculdades, comunidades residenciais, lavanderias e outros locais nos Estados Unidos, Canadá e Europa.
Falta de Resposta da Empresa
Segundo a reportagem da The Verge, a CSC ServiceWorks não respondeu quando Sherbrooke e Taranenko reportaram a vulnerabilidade por e-mail e ligação telefônica em janeiro. Apesar disso, os estudantes afirmam que a empresa “apagou silenciosamente” os milhões falsos após serem contatados.
Riscos da Internet das Coisas
A falha de segurança encontrada é um lembrete de que a situação de segurança com a Internet das Coisas ainda não está resolvida. Enquanto neste caso a CSC pode ter arcado com o risco, em outros casos, práticas de cibersegurança inadequadas permitiram que hackers ou contratados da empresa acessassem imagens de câmeras de segurança de estranhos ou tivessem acesso a tomadas inteligentes.
Importância da Resposta das Empresas
Muitas vezes, pesquisadores de segurança descobrem essas vulnerabilidades e as reportam antes que possam ser exploradas. No entanto, isso não é útil se a empresa responsável não responder. A falta de resposta da CSC ServiceWorks levou os estudantes a divulgarem suas descobertas.
Referências
DAVIS, Wes. Students find security bug that could let millions of college students do free laundry. The Verge, 19 de maio de 2024.