Một cặp sinh viên đại học cho biết họ đã tìm thấy và báo cáo vào đầu năm nay một lỗ hổng bảo mật cho phép mọi người tránh phải trả tiền giặt là được cung cấp bởi hơn một triệu máy giặt có kết nối internet ở các khu dân cư và khuôn viên trường đại học trên khắp thế giới.
Nhiều tháng sau, lỗ hổng này vẫn còn tồn tại sau khi CSC ServiceWorks liên tục phớt lờ các yêu cầu sửa lỗi.
Sinh viên UC Santa Cruz Alexander Sherbrooke và Ikov Taranenko nói với TechCrunch rằng lỗ hổng mà họ phát hiện cho phép mọi người gửi lệnh từ xa đến máy giặt do CSC điều hành và vận hành chu trình giặt miễn phí.
Sherbrooke cho biết anh đang ngồi trên sàn phòng giặt ở tầng hầm vào một buổi sáng sớm tháng Giêng với chiếc máy tính xách tay trên tay và “đột nhiên có một khoảnh khắc 'ồ s—'.” Từ máy tính xách tay của mình, Sherbrooke chạy một đoạn mã với hướng dẫn yêu cầu chiếc máy trước mặt anh bắt đầu một chu trình mặc dù anh có 0 USD trong tài khoản giặt là. Máy ngay lập tức thức dậy với một tiếng bíp lớn và nhấp nháy “PUSH START” trên màn hình, cho biết máy đã sẵn sàng giặt một lượng đồ giặt miễn phí.
Trong một trường hợp khác, các sinh viên đã thêm số dư có vẻ là vài triệu đô la vào một trong các tài khoản giặt là của họ, điều này được phản ánh trong ứng dụng di động CSC Go của họ như thể đó là số tiền hoàn toàn bình thường mà sinh viên chi cho việc giặt là.
CSC ServiceWorks là một công ty dịch vụ giặt là lớn, cung cấp mạng lưới hơn một triệu máy giặt được lắp đặt tại các khách sạn, khuôn viên trường đại học và khu dân cư trên khắp Hoa Kỳ, Canada và Châu Âu.
Vì CSC ServiceWorks không có trang bảo mật chuyên dụng để báo cáo các lỗ hổng bảo mật nên Sherbrooke và Taranenko đã gửi cho công ty một số tin nhắn thông qua biểu mẫu liên hệ trực tuyến vào tháng 1 nhưng không nhận được phản hồi nào từ công ty. Họ nói rằng một cuộc điện thoại đến công ty cũng không đưa họ đến đâu cả.
Các sinh viên cũng gửi phát hiện của mình đến Trung tâm Điều phối CERT tại Đại học Carnegie Mellon, nơi giúp các nhà nghiên cứu bảo mật tiết lộ các lỗ hổng cho các nhà cung cấp bị ảnh hưởng và cung cấp các bản sửa lỗi cũng như hướng dẫn cho công chúng.
Các sinh viên hiện đang tiết lộ nhiều hơn về những phát hiện của họ sau khi chờ đợi lâu hơn ba tháng thông thường mà các nhà nghiên cứu bảo mật thường cho phép các nhà cung cấp sửa lỗi trước khi công khai. Cặp đôi lần đầu tiên tiết lộ nghiên cứu của họ trong một bài thuyết trình tại câu lạc bộ an ninh mạng trường đại học của họ vào đầu tháng 5.
Không rõ ai, nếu có, chịu trách nhiệm về an ninh mạng tại CSC và đại diện của CSC đã không trả lời yêu cầu bình luận của TechCrunch.
Các nhà nghiên cứu sinh viên cho biết lỗ hổng này nằm trong API được sử dụng bởi ứng dụng di động của CSC, CSC Go. API cho phép các ứng dụng và thiết bị giao tiếp với nhau qua internet. Trong trường hợp này, khách hàng mở ứng dụng CSC Go để nạp tiền vào tài khoản của họ, thanh toán và bắt đầu giặt đồ trên máy gần đó.
Sherbrooke và Taranenko phát hiện ra rằng máy chủ của CSC có thể bị lừa chấp nhận các lệnh sửa đổi số dư tài khoản của họ vì mọi kiểm tra bảo mật đều được ứng dụng thực hiện trên thiết bị của người dùng và được máy chủ của CSC tự động tin cậy. Điều này cho phép họ trả tiền giặt là mà không cần phải bỏ tiền thật vào tài khoản.
Bằng cách phân tích lưu lượng truy cập mạng khi đăng nhập và sử dụng ứng dụng CSC Go, Sherbrooke và Taranenko nhận thấy rằng họ có thể vượt qua các bước kiểm tra bảo mật của ứng dụng và gửi lệnh trực tiếp đến các máy chủ của CSC vốn không có sẵn thông qua ứng dụng.
Các nhà cung cấp công nghệ như CSC chịu trách nhiệm cuối cùng trong việc đảm bảo máy chủ của họ đang thực hiện kiểm tra bảo mật thích hợp; nếu không thì nó giống như có một kho tiền ngân hàng được bảo vệ bởi một người bảo vệ không thèm kiểm tra xem ai được phép vào.
Các nhà nghiên cứu cho biết bất kỳ ai cũng có thể tạo tài khoản người dùng CSC Go và gửi lệnh bằng API vì máy chủ cũng không kiểm tra xem người dùng mới có sở hữu địa chỉ email của họ hay không. Các nhà nghiên cứu đã thử nghiệm điều này bằng cách tạo một tài khoản CSC mới bằng địa chỉ email giả.
Với quyền truy cập trực tiếp vào API và tham khảo danh sách lệnh được xuất bản của CSC để liên lạc với máy chủ của mình, các nhà nghiên cứu cho biết có thể định vị và tương tác từ xa với “mọi máy giặt trên mạng được kết nối CSC ServiceWorks”.
Thực tế mà nói, giặt đồ miễn phí có một ưu điểm rõ ràng. Nhưng các nhà nghiên cứu nhấn mạnh những mối nguy hiểm tiềm ẩn khi có các thiết bị hạng nặng kết nối Internet và dễ bị tấn công. Sherbrooke và Taranenko cho biết họ không biết liệu việc gửi lệnh thông qua API có thể vượt qua các hạn chế an toàn mà các máy giặt hiện đại đưa ra để ngăn chặn quá nhiệt và cháy nổ hay không. Các nhà nghiên cứu cho biết ai đó sẽ phải nhấn nút khởi động của máy giặt để bắt đầu một chu trình; cho đến lúc đó, các cài đặt ở mặt trước của máy giặt không thể thay đổi trừ khi có người đặt lại máy.
CSC đã lặng lẽ xóa số dư tài khoản trị giá hàng triệu đô la của các nhà nghiên cứu sau khi họ báo cáo phát hiện của mình, nhưng các nhà nghiên cứu cho biết lỗi vẫn chưa được sửa và người dùng vẫn có thể “tự do” đưa cho mình bất kỳ số tiền nào.
Taranenko cho biết ông thất vọng vì CSC không thừa nhận lỗ hổng của họ.
“Tôi không hiểu tại sao một công ty lớn lại mắc phải những sai lầm như vậy và không có cách nào liên hệ với họ,” anh nói. “Trường hợp xấu nhất, mọi người có thể dễ dàng nạp tiền vào ví và công ty mất rất nhiều tiền. Tại sao không dành mức tối thiểu để có một hộp thư đến email bảo mật được giám sát duy nhất cho loại tình huống này?”
Nhưng các nhà nghiên cứu không nản lòng trước việc thiếu phản hồi từ CSC.
Taranenko cho biết: “Vì chúng tôi đang thực hiện việc này một cách thiện chí nên tôi không ngại dành vài giờ chờ đợi để gọi cho bộ phận trợ giúp của họ nếu điều đó có thể giúp một công ty giải quyết các vấn đề bảo mật của họ”. có thể thực hiện loại nghiên cứu bảo mật này trong thế giới thực chứ không chỉ trong các cuộc thi mô phỏng.”