Dos estudiantes de Santa Cruz descubren un error de seguridad que podría permitir a millones hacer la colada gratis

Un par de estudiantes universitarios dicen que encontraron y reportaron a principios de este año una falla de seguridad que permite a cualquiera evitar pagar por la lavandería proporcionada por más de un millón de máquinas de lavandería conectadas a internet en residencias y campus universitarios de todo el mundo.

Meses después, la vulnerabilidad sigue abierta después de que CSC ServiceWorks ignorara repetidamente las solicitudes para solucionar la falla.

Los estudiantes de la UC Santa Cruz, Alexander Sherbrooke e Iakov Taranenko, le dijeron a TechCrunch que la vulnerabilidad que descubrieron permite a cualquiera enviar comandos de forma remota a las máquinas de lavandería administradas por CSC y operar ciclos de lavado de forma gratuita.

Sherbrooke dijo que estaba sentado en el suelo de su lavandería en el sótano en las primeras horas de una mañana de enero con su computadora portátil en la mano y de repente tuvo un momento de 'oh mierda'. Desde su computadora portátil, Sherbrooke ejecutó un script de código con instrucciones que le decían a la máquina frente a él que comenzara un ciclo a pesar de tener $0 en su cuenta de lavandería. La máquina se despertó inmediatamente con un fuerte pitido y mostró 'PUSH START' en su pantalla, indicando que la máquina estaba lista para lavar una carga de ropa gratis.

En otro caso, los estudiantes agregaron un balance aparente de varios millones de dólares a una de sus cuentas de lavandería, lo que se reflejó en su aplicación móvil CSC Go como si fuera una cantidad completamente normal de dinero para que un estudiante gaste en lavandería.

CSC ServiceWorks es una gran empresa de servicios de lavandería, que presume de una red de más de un millón de máquinas de lavandería instaladas en hoteles, campus universitarios y residencias en los Estados Unidos, Canadá y Europa.

Dado que CSC ServiceWorks no tiene una página de seguridad dedicada para informar vulnerabilidades de seguridad, Sherbrooke y Taranenko enviaron varios mensajes a la empresa a través de su formulario de contacto en línea en enero, pero no recibieron respuesta de la empresa. Una llamada telefónica a la empresa tampoco les llevó a ninguna parte, dijeron.

Los estudiantes también enviaron sus hallazgos al CERT Coordination Center de la Universidad Carnegie Mellon, que ayuda a los investigadores de seguridad a divulgar fallas a los proveedores afectados y proporcionar correcciones y orientación al público.

Los estudiantes ahora están revelando más sobre sus hallazgos después de esperar más de los tres meses habituales que los investigadores de seguridad suelen dar a los proveedores para solucionar fallas antes de hacerlas públicas. La pareja reveló por primera vez su investigación en una presentación en el club de ciberseguridad de su universidad a principios de mayo.

No está claro quién, si es que alguien, es responsable de la ciberseguridad en CSC, y los representantes de CSC no respondieron a las solicitudes de comentarios de TechCrunch.

Los investigadores dijeron que la vulnerabilidad está en la API utilizada por la aplicación móvil de CSC, CSC Go. Una API permite que las aplicaciones y dispositivos se comuniquen entre sí a través de internet. En este caso, el cliente abre la aplicación CSC Go para recargar su cuenta con fondos, pagar e iniciar una carga de ropa en una máquina cercana.

Sherbrooke y Taranenko descubrieron que los servidores de CSC pueden ser engañados para aceptar comandos que modifican los saldos de las cuentas porque cualquier verificación de seguridad la realiza la aplicación en el dispositivo del usuario y es automáticamente confiada por los servidores de CSC. Esto les permite pagar la lavandería sin poner realmente fondos reales en sus cuentas.

Al analizar el tráfico de red mientras estaban conectados y usando la aplicación CSC Go, Sherbrooke y Taranenko encontraron que podían eludir las verificaciones de seguridad de la aplicación y enviar comandos directamente a los servidores de CSC, que no están disponibles a través de la aplicación en sí misma.

Los proveedores de tecnología como CSC son en última instancia responsables de asegurarse de que sus servidores realicen las verificaciones de seguridad adecuadas; de lo contrario, es similar a tener una cámara acorazada protegida por un guardia que no se molesta en comprobar quién puede entrar.

Los investigadores dijeron que potencialmente cualquiera puede crear una cuenta de usuario de CSC Go y enviar comandos utilizando la API porque los servidores tampoco están verificando si los nuevos usuarios son dueños de sus direcciones de correo electrónico. Los investigadores probaron esto creando una nueva cuenta de CSC con una dirección de correo electrónico inventada.

Con acceso directo a la API y haciendo referencia a la propia lista de comandos publicada por CSC para comunicarse con sus servidores, los investigadores dijeron que es posible localizar e interactuar de forma remota con 'cada máquina de lavandería en la red conectada de CSC ServiceWorks'.

Prácticamente hablando, la lavandería gratuita tiene una ventaja obvia. Pero los investigadores destacaron los peligros potenciales de tener electrodomésticos de uso intensivo conectados a internet y vulnerables a ataques. Sherbrooke y Taranenko dijeron que desconocían si enviar comandos a través de la API puede eludir las restricciones de seguridad con las que vienen equipadas las modernas máquinas de lavandería para evitar sobrecalentamientos e incendios. Los investigadores dijeron que alguien tendría que presionar físicamente el botón de inicio de la máquina de lavandería para comenzar un ciclo; hasta entonces, los ajustes en el frente de la máquina de lavandería no pueden cambiarse a menos que alguien restablezca la máquina.

CSC eliminó discretamente el saldo de la cuenta de los investigadores de varios millones de dólares después de que informaron sus hallazgos, pero los investigadores dijeron que el error sigue sin corregirse y aún es posible que los usuarios se den 'gratuitamente' cualquier cantidad de dinero.

Taranenko dijo que estaba decepcionado de que CSC no reconociera su vulnerabilidad.

'Simplemente no entiendo cómo una empresa tan grande comete ese tipo de errores, y luego no tiene forma de contactarlos', dijo. 'En el peor de los casos, las personas pueden cargar fácilmente sus billeteras y la empresa pierde una gran cantidad de dinero. ¿Por qué no gastar como mínimo en tener una sola bandeja de entrada de correo electrónico de seguridad monitoreada para este tipo de situación?'

Pero los investigadores no se desaniman por la falta de respuesta de CSC.

'Dado que estamos haciendo esto de buena fe, no me importa pasar unas horas esperando en la línea para llamar a su centro de ayuda si eso ayudaría a una empresa con sus problemas de seguridad', dijo Taranenko, agregando que 'fue divertido poder hacer este tipo de investigación de seguridad en el mundo real y no solo en competiciones simuladas'.