Una vulnerabilidad podría permitir que millones de estudiantes universitarios laven su ropa gratis, gracias a una empresa. Esto se debe a una vulnerabilidad descubierta por dos estudiantes de UC Santa Cruz en lavadoras conectadas a Internet utilizadas comercialmente en varios países. de acuerdo a TechCrunch.
Los dos estudiantes, Alexander Sherbrooke y Yakov Taranenko, aparentemente explotaron la interfaz de programación de aplicaciones de las máquinas para hacer cosas como ordenarles remotamente que trabajaran gratis y actualizar la cuenta de la lavandería para mostrar que contenía millones de dólares. La empresa propietaria de las máquinas, CSC ServiceWorks, afirma ser su propietaria. Más de un millón de lavadoras vendidas En servicio en universidades, comunidades de viviendas múltiples, lavanderías y más en los Estados Unidos, Canadá y Europa.
CSC nunca respondió cuando Sherbrooke y Taranenko informaron de la vulnerabilidad mediante correos electrónicos y una llamada telefónica en enero. TechCrunch El escribe. A pesar de esto, los estudiantes dijeron al medio que la compañía «borró silenciosamente» sus millones falsos después de que se comunicaron con ella.
La falta de respuesta los impulsó a contarles a otros sus hallazgos. Esto incluye que la empresa tenga Lista de comandos publicadosque fue narrado por ambos TechCrunch Permite la conexión a todas las lavadoras en red CSC. CSC ServiceWorks no respondió de inmediato el borde’Petición de comentario.
La vulnerabilidad del CSC es un buen recordatorio de que la situación de seguridad con respecto al Internet de las cosas está lejos de resolverse. Para el exploit que encontraron los estudiantes, es posible que CSC haya corrido el riesgo, pero en otros casos, las prácticas laxas de ciberseguridad permitieron a los piratas informáticos o a los contratistas de la empresa ver imágenes de cámaras de seguridad de extraños o acceder a enchufes inteligentes.
A menudo, los investigadores de seguridad encuentran e informan sobre estas vulnerabilidades antes de que realmente sean explotadas. Pero esto no sirve de nada si la empresa responsable no responde.
