Um par de estudantes universitários diz que encontrou e relatou no início deste ano uma falha de segurança que permitia que qualquer pessoa evitasse pagar pela lavagem fornecida por mais de um milhão de máquinas de lavar conectadas à internet.

O fornecedor, CSC ServiceWorks, ignorou repetidamente solicitações para corrigir a falha.

Após a publicação, a CSC forneceu ao TechCrunch uma declaração pedindo desculpas por não ter respondido mais cedo e agradecendo aos estudantes por relatarem suas descobertas. A CSC acrescentou que estava "investindo em várias iniciativas que nos tornarão uma organização mais forte e mais resiliente à segurança para incidentes futuros."

Os estudantes da UC Santa Cruz, Alexander Sherbrooke e Iakov Taranenko, disseram ao TechCrunch que a vulnerabilidade que descobriram permitia que qualquer pessoa enviasse comandos remotamente para máquinas de lavar administradas pela CSC e operasse ciclos de lavagem de graça.

Sherbrooke disse que estava sentado no chão da lavanderia do porão de sua casa nas primeiras horas de uma manhã de janeiro com seu laptop em mãos e "de repente teve um momento de 'oh s—'". Do seu laptop, Sherbrooke executou um script de código com instruções dizendo à máquina em sua frente para começar um ciclo mesmo tendo $0 em sua conta de lavanderia. A máquina imediatamente acordou com um bipe alto e piscou "PRESS START" em sua tela, indicando que a máquina estava pronta para lavar uma carga de roupa gratuitamente.

Em outro caso, os estudantes adicionaram um saldo aparente de vários milhões de dólares em uma de suas contas de lavanderia, o que refletiu em seu aplicativo móvel CSC Go como se fosse uma quantia completamente normal para um estudante gastar com lavanderia.

Desde que a CSC ServiceWorks não possuía uma página dedicada para relatar vulnerabilidades de segurança, Sherbrooke e Taranenko enviaram várias mensagens para a empresa por meio de seu formulário de contato online em janeiro, mas não receberam resposta. Uma ligação para a empresa também não os levou a lugar algum, disseram eles.

Os estudantes também enviaram suas descobertas para o CERT Coordination Center da Universidade Carnegie Mellon, que ajuda pesquisadores de segurança a divulgar falhas para fornecedores afetados e fornecer correções e orientações ao público.

Os estudantes estão agora revelando mais sobre suas descobertas depois de esperar mais do que os três meses habituais que os pesquisadores de segurança geralmente concedem aos fornecedores para corrigir falhas antes de torná-las públicas. O par divulgou inicialmente sua pesquisa em uma apresentação no clube de cibersegurança de sua universidade em maio.

Não está claro quem, se é que alguém, supervisiona a cibersegurança na CSC, e representantes da CSC não responderam aos pedidos do TechCrunch para comentar antes da publicação desta história.

Dias após a publicação desta história, a CSC forneceu uma declaração agradecendo aos pesquisadores de segurança. "Gostaríamos de agradecer ao Sr. Sherbrooke e ao Sr. Taranenko por suas contribuições para tornar empresas como a CSC ServiceWorks e seus stakeholders mais seguras. Pedimos desculpas por não ter respondido a eles de maneira mais oportuna," disse Stephen Gilbert, vice-presidente de marketing da CSC.

A CSC disse que a empresa "trabalhou em estreita colaboração com nossos fornecedores para corrigir esse problema," e que a CSC também está atualizando seu site para incluir um formulário de relato de segurança que permitirá à empresa "analisar e abordar imediatamente as preocupações de segurança trazidas a nós pelo público."

Os pesquisadores disseram que encontraram a vulnerabilidade na API usada pelo aplicativo móvel da CSC, CSC Go. Uma API permite que aplicativos e dispositivos se comuniquem pela internet. Neste caso, o cliente abre o aplicativo CSC Go para adicionar fundos à sua conta, pagar e começar uma lavagem em uma máquina próxima.

Sherbrooke e Taranenko descobriram que os servidores da CSC poderiam ser enganados para aceitar comandos que modificam os saldos de suas contas porque quaisquer verificações de segurança são feitas pelo aplicativo no dispositivo do usuário e são automaticamente confiadas pelos servidores da CSC. Isso permitiu que eles pagassem pela lavagem sem realmente colocar fundos reais em suas contas.

Ao analisar o tráfego de rede enquanto conectados e usando o aplicativo CSC Go, Sherbrooke e Taranenko descobriram que podiam contornar as verificações de segurança do aplicativo e enviar comandos diretamente para os servidores da CSC, que não estão disponíveis através do aplicativo em si.

Fornecedores de tecnologia como a CSC são, em última instância, responsáveis por garantir que seus servidores estejam realizando as devidas verificações de segurança; caso contrário, é como ter um cofre de banco protegido por um guarda que não se preocupa em verificar quem tem permissão para entrar.

Os pesquisadores disseram que potencialmente qualquer pessoa pode criar uma conta de usuário CSC Go e enviar comandos usando a API porque os servidores também não estão verificando se os novos usuários possuem seus endereços de e-mail. Os pesquisadores testaram isso criando uma nova conta da CSC com um endereço de e-mail inventado.

Com acesso direto à API e referenciando a lista de comandos publicada pela CSC para comunicação com seus servidores, os pesquisadores disseram que era possível localizar e interagir remotamente com "cada máquina de lavar na rede conectada da CSC ServiceWorks".

Na prática, a lavagem gratuita tem uma vantagem óbvia. Mas os pesquisadores ressaltaram os potenciais perigos de ter eletrodomésticos pesados conectados à internet e vulneráveis a ataques. Sherbrooke e Taranenko disseram que não tinham certeza se enviar comandos através da API poderia ignorar as restrições de segurança que as máquinas de lavar modernas possuem para evitar superaquecimento e incêndios. Os pesquisadores disseram que alguém teria que pressionar fisicamente o botão de iniciar da máquina de lavar para iniciar um ciclo; até então, as configurações na frente da máquina de lavar não podem ser alteradas a menos que alguém redefina a máquina.

A CSC silenciosamente zerou o saldo da conta dos pesquisadores de vários milhões de dólares depois que eles relataram suas descobertas, mas os pesquisadores disseram que ainda era possível para os usuários "livremente" se darem qualquer quantia de dinheiro.

Taranenko disse que estava decepcionado por a CSC não reconhecer a vulnerabilidade deles.

"Eu simplesmente não entendo como uma empresa tão grande comete esse tipo de erros, e então não tem como contatá-los," disse ele. "No pior cenário, as pessoas podem facilmente carregar suas carteiras e a empresa perde muito dinheiro. Por que não gastar um mínimo de ter uma única caixa de e-mail de segurança monitorada para esse tipo de situação?"

Mas os pesquisadores não se deixam desanimar pela falta de resposta da CSC.

"Como estamos fazendo isso de boa fé, não me importo de passar algumas horas esperando na linha para ligar para a central de ajuda deles se isso ajudar uma empresa com seus problemas de segurança," disse Taranenko, acrescentando que foi "divertido poder fazer esse tipo de pesquisa de segurança no mundo real e não apenas em competições simuladas."

Atualizado em 22 de maio com comentário pós-publicação da CSC.