Miljontals användare av företaget CSC Serviceworks tvättautomater i USA, Kanada och flera europeiska länder kan ge sig själva gratistvättar med hjälp av en sårbarhet upptäckt av två studenter, rapporterar Tech Crunch.
Alexander Sherbrooke och Iakov Taranenko pluggar på UC Santa Cruz. För flera månader sedan upptäckte de en sårbarhet i CSC:s tvättautomater som styrs med en mobilapplikation. Sårbarheten ligger i ett öppet API som inte kontrollerar att användare är autentiserade, och som företaget dessutom tidigare publicerade öppet på internet (The Wayback Machine har sparat en kopia här).
CSC:s digitala tvättautomater finns placerade på bland annat universitet, hotell, servicestationer längs motorvägar och i flerfamiljshus i länder där tvättstugor av svensk modell inte förekommer. Enligt företaget används maskinerna av 40 miljoner kunder varje dag.
Alexander Sherbrooke och Iakov Taranenko försökte kontakta CSC via mejl och telefon i januari, men trots att säkerhetsbristen är enkel att utnyttja har företaget inte svarat. Det enda tecknet på att varningen har tagits emot är att deras tvättkonto, som de fyllde på med tvättkredit motsvarande miljontals dollar, plötsligt tömdes en tid senare.
Bristen, och bristen på åtgärder, visar hur det ofta är ställt inom ”sakernas internet”, skriver The Verge. Just tvättautomater utgör kanske inte någon större fara för allmänheten, men som en kommentator skriver på sajten är inte ens det säkert: API:et CSC inte verkar bry sig om att fixa kan utnyttjas för att spela spratt mot faktiska användare.
