Cómo los estudiantes hackearon un millón de lavadoras sin pagar un centavo

Los estudiantes de la Universidad de California en Santa Cruz, Alexander Sherbrooke y Yakov Taranenko, descubrieron una peligrosa vulnerabilidad en el sistema de pago de lavanderías de la empresa CSC ServiceWorks, que permite a cualquiera usar las máquinas de forma gratuita. A pesar de los repetidos intentos de los estudiantes para alertar a la empresa, el problema sigue sin resolverse. La revista TechCrunch informó sobre la situación después de que los estudiantes les contaran sobre el tema.

En enero, Sherbrooke estaba sentado en el suelo de la lavandería con su computadora portátil cuando de repente comprendió la magnitud del problema. Ejecutó un script que ordenó a la máquina comenzar el lavado, aunque su cuenta tenía $0. La máquina reaccionó de inmediato, emitiendo una señal fuerte y mostrando su disposición para lavar (solo faltaba presionar "START"). En otro caso, los estudiantes añadieron varios millones de dólares a una de sus cuentas en la aplicación móvil CSC Go.

CSC ServiceWorks administra más de un millón de lavanderías en hoteles, universidades y complejos residenciales en todo el mundo. Sin embargo, la empresa no tiene una página dedicada para reportar vulnerabilidades, y los estudiantes enviaron mensajes a través del formulario de contacto en el sitio web. También llamaron a la empresa, pero todos los intentos de contacto fueron infructuosos.

Los estudiantes enviaron sus hallazgos al Centro de Coordinación CERT en la Universidad Carnegie Mellon, que ayuda a los investigadores a reportar vulnerabilidades y ofrece soluciones. Sin embargo, han pasado más de tres meses y el problema sigue sin resolverse. La investigación se presentó en una reunión del club universitario de ciberseguridad a principios de mayo.

También se señala que la empresa tiene una lista publicada de comandos que permite conectar a todas las máquinas de lavandería conectadas a la red de CSC.

No está claro quién es responsable de la ciberseguridad en CSC, y los representantes de la empresa no respondieron a las solicitudes de TechCrunch. La vulnerabilidad está relacionada con la API de la aplicación móvil CSC Go, que permite a los usuarios recargar cuentas y comenzar lavados. Los estudiantes descubrieron que se puede engañar a los servidores de CSC enviando comandos que cambian el saldo de la cuenta, ya que las verificaciones de seguridad se realizan en el dispositivo del usuario y no en el servidor.

Analizando el tráfico de red, los estudiantes lograron eludir las revisiones de seguridad de la aplicación y enviar comandos directamente a los servidores de CSC, lo que les permitió iniciar lavados sin recargar sus cuentas con dinero real. Además, los servidores de CSC no verifican si la nueva cuenta pertenece a una persona real, lo que permite crear cuentas falsas.

Los investigadores advierten que tal vulnerabilidad puede tener consecuencias graves, especialmente si los delincuentes obtienen acceso a equipos pesados conectados a Internet. Aunque para iniciar un ciclo de lavado es necesario presionar un botón en la máquina, las configuraciones se pueden restablecer.

Después de informar sobre la vulnerabilidad, la empresa CSC anuló el saldo de las cuentas de los estudiantes, pero no solucionó el problema. Taranenko expresó su decepción por el hecho de que la empresa ignoró sus advertencias.

"Me sorprende cómo una empresa tan grande comete estos errores y no tiene una forma de contacto para cuestiones de seguridad. En el peor de los casos, las personas podrán recargar sus cuentas con grandes sumas y la empresa perderá mucho dinero. ¿Por qué no crear al menos un buzón para estos mensajes?", dijo Taranenko.

Los estudiantes afirmaron que, a pesar de la falta de respuesta por parte de CSC, no pierden el entusiasmo y están dispuestos a esperar una respuesta del servicio de soporte.