Un par de estudiantes universitarios dicen que encontraron y reportaron a principios de año una vulnerabilidad de seguridad que permitía a cualquiera evitar pagar por el lavado proporcionado por más de un millón de lavadoras conectadas a internet.

El proveedor, CSC ServiceWorks, ignoró repetidamente las solicitudes para solucionar la falla.

Después de la publicación, CSC proporcionó a TechCrunch una declaración disculpándose por no responder antes y agradeciendo a los estudiantes por informar sus hallazgos. CSC agregó que estaba \"invirtiendo en varias iniciativas que nos harán una organización más fuerte y más resistente a incidentes futuros de seguridad\".

Los estudiantes de la UC Santa Cruz, Alexander Sherbrooke e Iakov Taranenko, le dijeron a TechCrunch que la vulnerabilidad que descubrieron permitía a cualquiera enviar comandos de forma remota a las lavadoras operadas por CSC y realizar ciclos de lavado de forma gratuita.

Sherbrooke dijo que estaba sentado en el suelo de su lavandería en el sótano en las primeras horas de una mañana de enero con su computadora portátil en la mano y de repente tuvo un momento de 'oh mierda'. Desde su computadora portátil, Sherbrooke ejecutó un script de código con instrucciones que le decían a la máquina frente a él que comenzara un ciclo a pesar de tener $0 en su cuenta de lavandería. La máquina inmediatamente se despertó con un fuerte pitido y mostró "PUSH START" en su pantalla, indicando que la máquina estaba lista para lavar una carga de ropa de forma gratuita.

En otro caso, los estudiantes agregaron un saldo ostensible de varios millones de dólares en una de sus cuentas de lavandería, lo que se reflejó en su aplicación móvil CSC Go como si fuera una cantidad totalmente normal de dinero para que un estudiante gastara en lavandería.

CSC ServiceWorks es una gran empresa de lavandería, que presume de una red de más de un millón de lavadoras instaladas en hoteles, campus universitarios y residencias en los Estados Unidos, Canadá y Europa.

Dado que CSC ServiceWorks no tenía una página dedicada a la seguridad para informar vulnerabilidades de seguridad, Sherbrooke y Taranenko enviaron varios mensajes a la empresa a través de su formulario de contacto en línea en enero, pero no recibieron respuesta. Una llamada telefónica a la empresa tampoco los llevó a ninguna parte, dijeron. Los estudiantes también enviaron sus hallazgos al Centro de Coordinación CERT de la Universidad Carnegie Mellon, que ayuda a los investigadores de seguridad a divulgar fallas a los proveedores afectados y proporcionar soluciones y orientación al público.

Los estudiantes ahora están revelando más sobre sus hallazgos después de esperar más tiempo del período normal de tres meses que los investigadores de seguridad suelen conceder a los proveedores para solucionar fallas antes de hacerlas públicas. El dúo reveló por primera vez su investigación en una presentación en el club de ciberseguridad de su universidad a principios de mayo.

No está claro quién, si es que alguien, supervisa la ciberseguridad en CSC, y los representantes de CSC no respondieron a las solicitudes de comentarios de TechCrunch antes de la publicación de esta historia.

Días después de la publicación de esta historia, CSC proporcionó una declaración agradeciendo a los investigadores de seguridad. "Nos gustaría agradecer al Sr. Sherbrooke y al Sr. Taranenko por sus contribuciones para hacer que empresas como CSC ServiceWorks y sus partes interesadas sean más seguras. Pedimos disculpas por no responder a ellos de manera más oportuna", dijo Stephen Gilbert, vicepresidente de marketing de CSC.

CSC dijo que la empresa 'trabajó estrechamente con nuestros proveedores para rectificar este problema' y que CSC también está actualizando su sitio web para incluir un formulario de reporte de seguridad que permitirá a la empresa 'revisar de inmediato y abordar las preocupaciones de seguridad que se nos presenten por parte del público'.

Los investigadores dijeron que descubrieron la vulnerabilidad en la API utilizada por la aplicación móvil de CSC, CSC Go. Una API permite a las aplicaciones y dispositivos comunicarse entre sí a través de Internet. En este caso, el cliente abre la aplicación CSC Go para cargar su cuenta con fondos, pagar y comenzar un ciclo de lavado en una máquina cercana.

Sherbrooke y Taranenko descubrieron que los servidores de CSC podían ser engañados para que aceptaran comandos que modificaran los saldos de las cuentas porque cualquier verificación de seguridad la realiza la aplicación en el dispositivo del usuario y es automáticamente confiada por los servidores de CSC. Esto les permitió pagar por la lavandería sin poner realmente fondos reales en sus cuentas.

Al analizar el tráfico de la red mientras estaban conectados y usando la aplicación CSC Go, Sherbrooke y Taranenko descubrieron que podían evitar las comprobaciones de seguridad de la aplicación y enviar comandos directamente a los servidores de CSC, que no estaban disponibles a través de la aplicación misma.

Los proveedores de tecnología como CSC son en última instancia responsables de asegurarse de que sus servidores realicen las comprobaciones de seguridad adecuadas; de lo contrario, es como tener una bóveda bancaria protegida por un guardia que no se molesta en verificar quién está autorizado a ingresar.

Los investigadores dijeron que potencialmente cualquiera puede crear una cuenta de usuario CSC Go y enviar comandos utilizando la API porque los servidores tampoco están verificando si los nuevos usuarios son propietarios de sus direcciones de correo electrónico. Los investigadores probaron esto creando una nueva cuenta CSC con una dirección de correo electrónico inventada.

Con acceso directo a la API y refiriéndose a la lista de comandos publicada por CSC para comunicarse con sus servidores, los investigadores dijeron que era posible localizar e interactuar remotamente con 'cada máquina de lavandería en la red conectada de CSC ServiceWorks'.

Desde un punto de vista práctico, la lavandería gratuita tiene una ventaja evidente. Pero los investigadores enfatizaron los peligros potenciales de tener electrodomésticos de uso intensivo conectados a Internet y vulnerables a ataques. Sherbrooke y Taranenko dijeron que no sabían si enviar comandos a través de la API puede evadir las restricciones de seguridad que vienen con las lavadoras modernas para evitar el sobrecalentamiento e incendios. Los investigadores dijeron que alguien tendría que presionar físicamente el botón de inicio de la lavadora para comenzar un ciclo; hasta entonces, los ajustes en la parte frontal de la lavadora no pueden cambiarse a menos que alguien reinicie la máquina.

CSC eliminó silenciosamente el saldo de la cuenta de los investigadores de varios millones de dólares después de que informaron sus hallazgos, pero los investigadores dijeron que aún era posible que los usuarios 'libremente' se dieran a sí mismos cualquier cantidad de dinero.

Taranenko dijo que estaba decepcionado de que CSC no reconociera su vulnerabilidad.

\"No entiendo cómo una empresa tan grande comete ese tipo de errores y luego no tiene forma de contactarlos,\" dijo. \"En el peor de los casos, las personas pueden cargar fácilmente sus billeteras y la empresa pierde un montón de dinero. ¿Por qué no gastar un mínimo de tener una sola bandeja de entrada de correo electrónico de seguridad monitoreada para este tipo de situación?\"

Pero los investigadores no se desaniman por la falta de respuesta de CSC.

\"Dado que estamos haciendo esto de buena fe, no me importa pasar unas horas esperando en espera para llamar a su mesa de ayuda si eso pudiera ayudar a una empresa con sus problemas de seguridad,\" dijo Taranenko, agregando que era \"divertido poder hacer este tipo de investigación de seguridad en el mundo real y no solo en competiciones simuladas.\"

Actualizado el 22 de mayo con un comentario posterior a la publicación de CSC.