Если вы не живёте в джунглях Амазонки, то так или иначе вынуждены стирать свою одежду. Пожалуй, даже туземцам приходиться сталкиваться с данной проблемой, но обычно там всё решается сменой одного листа дерева на другой. Ну а вопрос стирки вещей в разных странах решается кардинально разными способами. Например, в бедных странах часто используют реки, куда сходятся местные женщины с котомками одежды. В России люди привыкли покупать собственную стиральную машинку, тогда как в США многие пользуются услугами прачечных. В подвале многоквартирных зданий обычно располагается большое помещение, где стоят столько машин, сколько требуется жильцам. Существуют и общественные прачечные, но логика работы от этого не меняется. Вы занимаете одну или несколько машин, оплачиваете стирку и ждёте завершения процесса. Подобная услуга существует уже много десятилетий, а долгое время оплата производилась при помощи наличных. Даже тогда находились мошенники, которые пользовались стиркой бесплатно, ну а сегодня желающих обмануть систему стало ещё больше.
Любопытной историей поделились американские журналисты, жалующиеся на студентов Калифорнийского университета в Санта-Круце. Оказывается, несколько наиболее одарённых особ выявили уязвимость, которая позволяет стирать одежду совершенно бесплатно. Два студента заметили большую дыру в приложении CSC GO Laundry, которое используется для управления стиральными машинами сети CSC ServiceWorks. Данная сеть существует уже 90 лет и предоставляет услуги в США и Европе. Один из студентов успешно взломал программное обеспечение, подменив управляющий скрипт. После этого ему стала доступна полностью бесплатная стирка. Со временем информация об уязвимости быстро распространилась между другими студентами, которые активно начали эксплуатировать открывшиеся перед ними возможности. Американские журналисты пишут, что один из них зашёл настолько далеко, что решил изменить баланс на своём счету. В результате теперь компания CSC ServiceWorks должна ему 1 миллион долларов.
Похоже, студенты уже перестирали все свои грязные вещи, ведь недавно они обратились к разработчику программного обеспечения с предложением внести изменения управляющую утилиту CSC GO Laundry. Как оказалось, крупная компания не заинтересовалась такой информацией и оставила уязвимость без внимания. По словам студентов, взлому подвержен встроенный API, предоставляющий пользователю широкие возможности. После изменения скрипта можно не только бесплатно постирать вещи, но и заблокировать работу практически любой машинки, которая в настоящее время подключена к общей сети. Ну а это десятки тысяч единиц, каждая из которых может быть отключена злоумышленниками. Никакой серьёзной защиты мобильное приложение не содержит, ну а студенты обеспокоены происходящим. Активисты уже передали полную информацию о проблеме в Координационный центр CERT при Университете Карнеги-Меллона. Именно там занимаются составлением рекомендаций тем или иным технологическим компаниям. Специалисты центра служат связующим звеном между белыми хакерами и отделами безопасности компаний, использующих компьютерное оборудование.
Эксперты уже изучили описанную проблему и пришли к выводу, что получить финансовую выгоду злоумышленники не могут, поскольку вывести деньги со счёта невозможно. Максимум, на что можно рассчитывать – это бесплатная стирка, но такая перспектива не считается привлекательной. А вот с точки зрения безопасности, уязвимость имеет крайне негативные последствия. Выяснилось, что хакеры могут отключить компоненты, отвечающие за противопожарную безопасность. Ну а поскольку потребление электричества у большой прачечной может превышать несколько сотен кВт*ч, то потеря контроля считается потенциально важным фактором. Кроме того, в приложении можно отключить датчики нагрева, что приведёт к выводу из строя стиральных машин, которые будут бесконтрольно работать без выключения. Журналисты не пишут о том, фиксировались ли уже опасные инциденты. Похоже, хакеров пока прачечные не интересуют, а сами студенты руководствуются благими намерениями.