Un par de estudiantes universitarios dicen que encontraron e informaron a principios de este año una falla de seguridad que permitía a cualquiera evitar pagar la ropa proporcionada por más de un millón de lavadoras conectadas a Internet en residencias y campus universitarios de todo el mundo.
Meses después, la vulnerabilidad permanece abierta después de que CSC ServiceWorks ignorara repetidamente las solicitudes para corregir la falla.
Los estudiantes de UC Santa Cruz, Alexander Sherbrooke e Iakov Taranenko, dijeron a TechCrunch que la vulnerabilidad que descubrieron permite a cualquiera enviar comandos de forma remota a las máquinas de lavandería administradas por CSC y operar ciclos de lavandería de forma gratuita.
Sherbrooke dijo que estaba sentado en el piso de la lavandería de su sótano en las primeras horas de una mañana de enero con su computadora portátil en la mano y “de repente tuvo un momento de ‘oh m-‘”. Desde su computadora portátil, Sherbrooke ejecutó un código con instrucciones que le indicaban a la máquina frente a él que iniciara un ciclo a pesar de tener $0 en su cuenta de lavandería. La máquina se despertó inmediatamente con un fuerte pitido y mostró “PUSH START” en su pantalla, lo que indica que la máquina estaba lista para lavar una carga libre de ropa.
En otro caso, los estudiantes agregaron un saldo aparente de varios millones de dólares en una de sus cuentas de lavandería, lo que se reflejó en su aplicación móvil CSC Go como si fuera una cantidad de dinero completamente normal para que un estudiante gastara en lavandería.
CSC ServiceWorks es una gran empresa de servicios de lavandería que cuenta con una red de más de un millón de máquinas de lavandería instaladas en hoteles, campus universitarios y residencias en Estados Unidos, Canadá y Europa.
Dado que CSC ServiceWorks no tiene una página de seguridad dedicada para informar vulnerabilidades de seguridad, Sherbrooke y Taranenko enviaron a la empresa varios mensajes a través de su formulario de contacto en línea en enero, pero no recibieron respuesta de la empresa. Una llamada telefónica a la empresa tampoco los llevó a ninguna parte, dijeron.
Los estudiantes también enviaron sus hallazgos al Centro de Coordinación CERT de la Universidad Carnegie Mellon, que ayuda a los investigadores de seguridad a revelar fallas a los proveedores afectados y brindar soluciones y orientación al público.
Los estudiantes ahora están revelando más sobre sus hallazgos después de esperar más de los habituales tres meses que los investigadores de seguridad suelen otorgar a los proveedores para corregir fallas antes de hacerlo público. La pareja reveló por primera vez su investigación en una presentación en el club de ciberseguridad de su universidad a principios de mayo.
No está claro quién, si es que hay alguien, es responsable de la ciberseguridad en CSC, y los representantes de CSC no respondieron a las solicitudes de comentarios de TechCrunch.
Los estudiantes investigadores dijeron que la vulnerabilidad está en la API utilizada por la aplicación móvil de CSC, CSC Go. Una API permite que las aplicaciones y los dispositivos se comuniquen entre sí a través de Internet. En este caso, el cliente abre la aplicación CSC Go para recargar fondos en su cuenta, pagar y comenzar a lavar la ropa en una máquina cercana.
Sherbrooke y Taranenko descubrieron que se puede engañar a los servidores de CSC para que acepten comandos que modifican los saldos de sus cuentas porque las comprobaciones de seguridad las realiza la aplicación en el dispositivo del usuario y los servidores de CSC confían automáticamente en ellos. Esto les permite pagar la lavandería sin tener que poner fondos reales en sus cuentas.
Al analizar el tráfico de la red mientras estaban conectados y usando la aplicación CSC Go, Sherbrooke y Taranenko descubrieron que podían eludir los controles de seguridad de la aplicación y enviar comandos directamente a los servidores de CSC, que no están disponibles a través de la aplicación en sí.
Los proveedores de tecnología como CSC son, en última instancia, responsables de garantizar que sus servidores realicen las comprobaciones de seguridad adecuadas; de lo contrario, es como tener la bóveda de un banco protegida por un guardia que no se molesta en comprobar quién puede entrar.
Los investigadores dijeron que potencialmente cualquiera puede crear una cuenta de usuario de CSC Go y enviar comandos usando la API porque los servidores tampoco verifican si los nuevos usuarios poseen sus direcciones de correo electrónico. Los investigadores probaron esto creando una nueva cuenta CSC con una dirección de correo electrónico inventada.
Con acceso directo a la API y haciendo referencia a la lista de comandos publicada por CSC para comunicarse con sus servidores, los investigadores dijeron que es posible localizar e interactuar de forma remota con “cada máquina de lavandería en la red conectada de CSC ServiceWorks”.
En la práctica, lavar la ropa gratis tiene ventajas evidentes. Pero los investigadores enfatizaron los peligros potenciales de tener electrodomésticos pesados conectados a Internet y vulnerables a ataques. Sherbrooke y Taranenko dijeron que no sabían si enviar comandos a través de la API puede eludir las restricciones de seguridad que vienen con las lavadoras modernas para evitar el sobrecalentamiento y los incendios. Los investigadores dijeron que alguien tendría que presionar físicamente el botón de inicio de la lavadora para comenzar un ciclo; Hasta entonces, la configuración en la parte frontal de la lavadora no se puede cambiar a menos que alguien reinicie la máquina.
CSC silenciosamente eliminó el saldo de la cuenta de los investigadores de varios millones de dólares después de que informaron sus hallazgos, pero los investigadores dijeron que el error aún no se ha solucionado y que todavía es posible que los usuarios se den “libremente” cualquier cantidad de dinero.
Taranenko dijo que estaba decepcionado de que el CSC no reconociera su vulnerabilidad.
“Simplemente no entiendo cómo una empresa tan grande comete ese tipo de errores y luego no tiene forma de contactarlos”, dijo. “En el peor de los casos, la gente podría llenar sus billeteras fácilmente y la empresa perdería un montón de dinero. ¿Por qué no gastar lo mínimo en tener una única bandeja de entrada de correo electrónico de seguridad monitoreada para este tipo de situación?
Pero los investigadores no se dejan intimidar por la falta de respuesta del CSC.
“Dado que estamos haciendo esto de buena fe, no me importa pasar unas horas esperando para llamar a su servicio de asistencia si eso pudiera ayudar a una empresa con sus problemas de seguridad”, dijo Taranenko, y agregó que fue “divertido”. poder hacer este tipo de investigación de seguridad en el mundo real y no sólo en competiciones simuladas”.