Компания CSC Serviceworks управляет прачечными самообслуживания в Северной Америке и Европе, в которых в общей сложности находится в эксплуатации более миллиона стиральных машин. Очевидно, она использует несовершенные механизмы безопасности. Это продемонстрировали два студента Калифорнийского университета в Санта-Крузе, сообщает TechCrunch.
Однажды, сидя в прачечной, одному из них пришла в голову идея попытаться активировать одну из стиральных машин, не имея баланса на аккаунте пользователя в мобильном приложении компании CSC Serviceworks. Чтобы запустить стирку, необходимо иметь на смартфоне мобильное приложение компании — баланс аккаунта пользователя нужно пополнить и затем оплачивать услуги прачечной самообслуживания.
Приложение переправило информацию на серверы CSC, и она была принята без проблем. Студенты не воспользовались ситуацией, чтобы пожизненно получить бесплатную стирку, а попытались сообщить об этом в CSC Serviceworks. Попытки связаться с оператором не увенчались успехом, и ответа от CSC не последовало.
Неправильный баланс студентов в миллион долларов был удален, но брешь в безопасности в их собственных IT-системах не была устранена.
Подождав несколько месяцев, Шербрук и Тараненко наконец опубликовали свои выводы и поделились мнением об этой ситуации.
«Я просто не понимаю, как такая крупная компания может допускать такие ошибки, а потом даже не предоставлять возможности связаться с ними. В худшем случае люди могут легко перевести на баланс миллионы, и компания потеряет кучу денег. Почему бы не инвестировать в безопасность системы немного денег и не создать службу поддержки для подобных ситуаций?», — говорит Тараненко.