Dua mahasiswa mengatakan mereka menemukan dan melaporkan awal tahun ini kelemahan keamanan yang memungkinkan siapa pun menghindari pembayaran pakaian yang disediakan oleh lebih dari satu juta mesin cuci yang terhubung ke Internet di asrama dan perguruan tinggi di seluruh dunia.
Beberapa bulan kemudian, kerentanan tetap terbuka setelah vendor, CSC ServiceWorks, berulang kali mengabaikan permintaan untuk memperbaiki bug tersebut.
Mahasiswa UC Santa Cruz Alexander Sherbrooke dan Iakov Taranenko mengatakan kepada TechCrunch bahwa kerentanan yang mereka temukan memungkinkan siapa pun mengirim perintah dari jarak jauh ke mesin cuci yang dioperasikan oleh CSC dan menggunakan laundry secara gratis.
Sherbrooke mengatakan dia sedang duduk di lantai ruang cuci di lantai bawah pada suatu pagi di bulan Januari dengan laptop di tangannya, dan “tiba-tiba dia mengalami momen ‘oh s—’.” Dari laptopnya, Sherbrooke menjalankan skrip kode dengan instruksi yang memberitahu mesin di depannya untuk mulai berputar meskipun dia memiliki $0 di rekening laundrynya. Mesin segera terbangun dengan bunyi bip keras dan menampilkan tulisan “PUSH START” di layarnya, menandakan bahwa mesin siap mencuci pakaian secara gratis.
Dalam kasus lain, siswa menambahkan sejumlah juta dolar ke akun laundry mereka, yang muncul di aplikasi seluler CSC Go seolah-olah itu adalah uang biasa bagi siswa untuk mencuci pakaian.
CSC ServiceWorks adalah perusahaan layanan binatu terkemuka, dengan lebih dari satu juta mesin cuci terpasang di hotel, universitas, dan tempat tinggal di Amerika Serikat, Kanada, dan Eropa.
Karena CSC ServiceWorks tidak memiliki halaman keamanan khusus yang merinci masalah keamanan, Sherbrooke dan Taranenko mengirimkan beberapa pesan kepada perusahaan melalui formulir kontak online mereka pada bulan Januari, tetapi tidak mendapat kabar dari perusahaan. Panggilan ke perusahaan tidak berhasil, katanya.
Para mahasiswa juga mengirimkan temuan mereka ke Pusat Koordinasi CERT di Universitas Carnegie Mellon, yang membantu peneliti keamanan mengungkap kerentanan pada vendor yang terkena dampak dan memberikan perbaikan serta panduan kepada publik.
Para siswa kini mengungkapkan lebih banyak temuan mereka setelah menunggu lebih dari tiga bulan ketika peneliti keamanan mengizinkan vendor memperbaiki bug sebelum dipublikasikan. Pasangan ini pertama kali meluncurkan penelitian mereka di klub keamanan siber universitas mereka pada awal Mei.
Tidak jelas siapa, jika ada, yang bertanggung jawab atas keamanan siber di CSC, dan perwakilan CSC tidak menanggapi permintaan komentar dari TechCrunch.
Mahasiswa peneliti mengatakan kerentanan ada pada API yang digunakan oleh aplikasi seluler CSC, CSC Go. API memungkinkan aplikasi dan perangkat berkomunikasi melalui Internet. Di sini, pelanggan membuka aplikasi CSC Go untuk menambahkan uang ke rekeningnya, membayar, dan mulai mencuci di mesin terdekat.
Sherbrooke dan Taranenko menemukan bahwa server CSC dapat ditipu untuk menerima perintah yang mengubah akun mereka karena pemeriksaan keamanan apa pun dilakukan oleh perangkat lunak pada perangkat pengguna dan hanya mengandalkan server CSC. Hal ini memungkinkan mereka membayar cucian tanpa memasukkan uang sungguhan ke rekening mereka.
Dengan menganalisis lalu lintas di jaringan saat mereka masuk dan menggunakan perangkat lunak CSC Go, Sherbrooke dan Taranenko menemukan bahwa mereka dapat melewati pemeriksaan keamanan perangkat lunak dan mengirimkan perintah langsung ke server CSC, yang tidak dapat diakses melalui perangkat lunak.
Vendor teknologi seperti CSC mempunyai tanggung jawab untuk memastikan bahwa server mereka menjaga keamanan yang tepat, jika tidak, hal ini seperti memiliki brankas bank yang diamankan oleh penjaga yang tidak mau repot-repot memeriksa siapa yang diizinkan masuk.
Para peneliti mengatakan siapa pun dapat membuat akun pengguna CSC Go dan mengirim perintah menggunakan API karena server juga tidak memeriksa apakah pengguna baru memiliki alamat email mereka. Para peneliti mengujinya dengan membuat akun CSC baru dengan alamat email khusus.
Dengan akses ke API dan merujuk pada daftar perintah yang diterbitkan untuk CSC untuk berkomunikasi dengan servernya, para peneliti mengatakan dimungkinkan untuk mengakses dan berkomunikasi dengan “mesin cuci apa pun di jaringan CSC ServiceWorks.”
Sejujurnya, laundry gratis memiliki sisi yang jelas. Namun para peneliti menekankan potensi bahaya dari memiliki alat berat yang terhubung ke Internet dan berpotensi rentan. Sherbrooke dan Taranenko mengatakan mereka tidak tahu apakah mengirimkan perintah melalui API dapat melewati batasan keamanan yang dimiliki mesin cuci modern untuk mencegah panas berlebih. Para peneliti mengatakan bahwa seseorang harus menekan tombol start mesin cuci untuk memulai siklus, hingga pengaturan di bagian depan mesin cuci tidak dapat diubah kecuali seseorang mengatur ulang mesin.
CSC diam-diam menghapus akun jutaan dolar milik para peneliti setelah melaporkan temuan tersebut, namun para peneliti mengatakan bug tersebut belum diperbaiki dan masih ada kemungkinan bagi pengguna “gratis” untuk memberikan uang kepada diri mereka sendiri.
Taranenko mengatakan dia kecewa karena CSC tidak mengakui kerentanannya.
“Saya tidak tahu bagaimana sebuah perusahaan besar melakukan kesalahan seperti ini dan kemudian mereka tidak punya cara untuk mengatasinya,” ujarnya. “Bagian terburuknya adalah, orang dapat dengan mudah mengeluarkan dompet mereka dan perusahaan kehilangan banyak uang, mengapa tidak mengeluarkan sedikit uang untuk memiliki email yang terkontrol dalam kasus seperti itu?”
Namun para peneliti tidak terpengaruh oleh kurangnya tanggapan dari CSC.
“Karena kami melakukan ini dengan jujur, saya tidak keberatan menghabiskan beberapa jam menunggu untuk menghubungi meja mereka jika hal ini membantu perusahaan dalam mengatasi masalah keamanan,” kata Taranenko, seraya menambahkan bahwa “menyenangkan mencoba menyelidiki keamanan semacam ini. di dunia nyata dan bukan di kompetisi virtual.”