Une faille de sécurité pourrait permettre à des millions d’étudiants de faire la lessive gratuitement, grâce à une seule entreprise. Cela est dû à une vulnérabilité que deux étudiants de l’Université de Californie à Santa Cruz ont découverte dans des machines à laver connectées à Internet utilisées à des fins commerciales dans plusieurs pays. selon TechCrunch.
Les deux étudiants, Alexander Sherbrooke et Iakov Taranenko, ont apparemment exploité une API pour l’application des machines afin de leur commander à distance de travailler sans paiement et de mettre à jour un compte de blanchisserie pour montrer qu’il contenait des millions de dollars. La société propriétaire des machines, CSC ServiceWorks, affirme avoir plus d’un million de blanchisseries et de distributeurs automatiques en service dans les collèges, les communautés multi-logements, les laveries automatiques et plus encore aux États-Unis, au Canada et en Europe.
Le SCC n’a jamais répondu lorsque Sherbrooke et Taranenko ont signalé la vulnérabilité par courriel et par appel téléphonique en janvier, TechCrunch écrit. Malgré cela, les étudiants ont déclaré au média que l’entreprise avait « discrètement effacé » leurs faux millions après l’avoir contactée.
L’absence de réponse les a amenés à faire part de leurs découvertes à d’autres. Cela inclut le fait que l’entreprise dispose d’un liste publiée des commandesce que les deux ont dit TechCrunch permet de se connecter à toutes les machines à laver connectées au réseau de CSC. CSC ServiceWorks n’a pas immédiatement répondu à Le bord’s demande de commentaires.
La vulnérabilité de CSC nous rappelle que la situation en matière de sécurité avec l’Internet des objets n’est toujours pas réglée. Pour l’exploit découvert par les étudiants, CSC assume peut-être le risque, mais dans d’autres cas, des pratiques de cybersécurité laxistes ont permis à des pirates informatiques ou à des sous-traitants de l’entreprise de visionner les images des caméras de sécurité d’étrangers ou d’accéder à des prises intelligentes.
Souvent, les chercheurs en sécurité découvrent ces failles de sécurité et les signalent avant qu’elles ne puissent être exploitées dans la nature. Mais cela ne sert à rien si l’entreprise responsable ne répond pas.