Компания CSC Serviceworks управляет прачечными самообслуживания в Северной Америке и Европе, в которых в общей сложности находится в эксплуатации более миллиона стиральных машин. Очевидно, она использует несовершенные механизмы безопасности. Это продемонстрировали два студента Калифорнийского университета в Санта-Крузе, сообщает TechCrunch. 

Однажды, сидя в прачечной, одному из них пришла в голову идея попытаться активировать одну из стиральных машин, не имея баланса на аккаунте пользователя в мобильном приложении компании CSC Serviceworks. Чтобы запустить стирку, необходимо иметь на смартфоне мобильное приложение компании — баланс аккаунта пользователя нужно пополнить и затем оплачивать услуги прачечной самообслуживания.
Фото: REUTERS 
К его изумлению, это оказалось на удивление легко сделать. Используя самописный код и мобильное приложение CSC Go, он и его коллега Яков Тараненко смогли легко отправлять команды стиральным машинам или добавлять любую сумму кредита в свой профиль пользователя. Ради развлечения студенты закрепили на своих счетах пользователей несколько миллионов долларов.

Приложение переправило информацию на серверы CSC, и она была принята без проблем. Студенты не воспользовались ситуацией, чтобы пожизненно получить бесплатную стирку, а попытались сообщить об этом в CSC Serviceworks. Попытки связаться с оператором не увенчались успехом, и ответа от CSC не последовало. 

Неправильный баланс студентов в миллион долларов был удален, но брешь в безопасности в их собственных IT-системах не была устранена.

Подождав несколько месяцев, Шербрук и Тараненко наконец опубликовали свои выводы и поделились мнением об этой ситуации.

«Я просто не понимаю, как такая крупная компания может допускать такие ошибки, а потом даже не предоставлять возможности связаться с ними. В худшем случае люди могут легко перевести на баланс миллионы, и компания потеряет кучу денег. Почему бы не инвестировать в безопасность системы немного денег и не создать службу поддержки для подобных ситуаций?», — говорит Тараненко.