Estudantes Exploram Vulnerabilidade Em Máquinas De Lavanderia
Falha de Segurança Permite que Estudantes Universitários Usem Lavanderia Gratuitamente
Uma vulnerabilidade descoberta por dois estudantes da Universidade da Califórnia, Santa Cruz, pode permitir que milhões de estudantes universitários usem lavanderia gratuitamente. A falha de segurança foi encontrada em máquinas de lavar conectadas à internet, utilizadas em diversos países pela empresa CSC ServiceWorks.
Estudantes Exploram Vulnerabilidade na API
Os estudantes Alexander Sherbrooke e Iakov Taranenko descobriram que era possível explorar a API das máquinas de lavar para realizar ações remotamente, como comandá-las para funcionar sem pagamento e atualizar a conta de lavanderia para mostrar milhões de dólares. A CSC ServiceWorks, proprietária das máquinas, alega ter mais de um milhão de máquinas de lavar e vending machines em uso em faculdades, comunidades residenciais e lavanderias nos Estados Unidos, Canadá e Europa.
Empresa Não Respondeu aos Alertas
Segundo a reportagem da The Verge, Sherbrooke e Taranenko tentaram alertar a CSC ServiceWorks sobre a vulnerabilidade por e-mail e ligação telefônica em janeiro, mas a empresa não respondeu. Mesmo assim, os estudantes afirmam que a empresa “apagou silenciosamente” os milhões de dólares falsos após eles entrarem em contato.
Falta de Resposta Levou à Divulgação Pública
A falta de resposta da CSC ServiceWorks levou os estudantes a divulgar publicamente suas descobertas. Eles informaram que a empresa possui uma lista publicada de comandos, o que permite a conexão com todas as máquinas de lavanderia da rede da CSC. A empresa não respondeu imediatamente ao pedido de comentário da The Verge.
Importância da Segurança no Internet of Things
Este caso serve como um lembrete de que a situação de segurança no Internet of Things (IoT) ainda não está resolvida. Enquanto, neste caso, o risco pode ter sido assumido pela CSC, em outros casos, práticas de cibersegurança negligentes permitiram que hackers ou contratados da empresa acessassem imagens de câmeras de segurança de estranhos ou tivessem acesso a tomadas inteligentes.
Pesquisadores Encontram Vulnerabilidades, mas Empresas Não Respondem
Muitas vezes, pesquisadores de segurança descobrem essas vulnerabilidades e as reportam antes que possam ser exploradas. No entanto, isso não é útil se a empresa responsável não responder. A falta de resposta da CSC ServiceWorks é um exemplo disso.
Referências
DAVIS, Wes. Students find security bug that could let millions of college students do free laundry. The Verge, 19 de maio de 2024.