Баг в софте для стиральных машин позволяет бесплатно постирать в прачечной

Баг в софте для стиральных машин позволяет бесплатно постирать в прачечной

Баг в софте для стиральных машин позволяет бесплатно постирать в прачечной

Уязвимость в системе безопасности стиральных машин CSC ServiceWorks обнаружили два студента из университета Калифорнии. Баг позволяет проводить неограниченное количество бесплатных циклов стирки.

Студенты Александр Шербрук и Яков Тараненко рассказали, что с помощью этой уязвимости любой может посылать удалённые команды стиральным машинам.

Этот баг кроется в API, которое использует мобильное приложение CSC Go. Софт можно обманом заставить принимать команды, поскольку «проверки безопасности выполняются приложением на устройстве пользователя и автоматически доверяются серверам CSC».

Шербрук обнаружил уязвимость, когда ему удалось подсунуть скрипт с инструкциями для машины по запуску цикла. На тот момент на его счету было 0 долларов. Студенты удивились, когда машина загорелась, ожидая нажатия на кнопку «старт» для запуска стирки.

Затем молодые хакеры пополнили свои счета в прачечной на несколько миллионов долларов, а приложение это допустило.

В январе этого года Шербрук и Тараненко связались с компанией CSC ServiceWorks и сообщили об уязвимости через контактную форму на веб-сайте, но не получили ответа. Дозвониться до представителей им также не удалось. Студенты обратились за помощью в Координационный центр CERT Университета Карнеги-Меллона, чтобы связаться с поставщиком, но тот «даже не зашел на портал CERT, чтобы просмотреть сообщение».

Спустя три месяца (обычно столько исследователи предоставляют поставщикам на исправление уязвимостей) студенты сообщили миру о своей находке. Компания CSC удалила баланс их многомиллионного счета, но баг до сих пор не устранила.

20 мая Шербрук и Тараненко опубликовали в блоге Slug Security пост с техническими подробностями своего открытия.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

На основе продуктов и сервисов F.A.C.C.T. создали новую ИБ-компанию

Фонд развития результативной кибербезопасности Сайберус при участии новых инвесторов создаёт ИБ-компанию на основе продуктов и сервисов F.A.C.C.T. Основной акцент новичок сделает на разработке линейки технологий для предотвращения и расследования киберпреступлений.

Как отметили представители F.A.C.C.T., акционеры (включая основателя тогда ещё Group-IB Илью Сачкова) передают новой компании часть активов: инженерные технологии, экспертизу, интеллектуальную собственность и текущие контракты.

Ожидается, что часть команды также перейдёт в новую компанию. При этом акционеры F.A.C.C.T. не войдут в акционерную структуру.

Отмечается, что разработка продуктовой линейки новой компании ведётся с лета 2024 года. Последняя уже получила ИТ-аккредитацию в Минцифры.

Акционерами  станут фонд результативной кибербезопасности Сайберус (47%) и частные инвесторы. Сумма сделки не разглашается.

Место главы новой организации займёт нынешний генеральный директор F.A.C.C.T. Валерий Баулин, что позволит ему сосредоточится на создании «одного из ведущих игроков на рынке кибербезопасности».

Сайберус не будет принимать участие в операционном управлении новой компанией. Сделка по передаче активов F.A.C.C.T. новой компании стартовала сегодня, 29 ноября. Инвесторы планируют завершить юридические процедуры в первом квартале 2025 года.

«Наша цель — сделать новую компанию одной из сильнейших в сфере информационной безопасности в стране с фокусом на борьбу с киберпреступностью, — комментирует Валерий Баулин, генеральный директор F.A.C.C.T. — Это позитивное событие для всего рынка кибербеза. Видение новых акционеров и экспертиза команды позволят создавать новые продукты, отвечающие современным вызовам. Мы уже разрабатываем и готовим к запуску новые сервисы и продукты, продолжаем инвестировать в поиск и развитие новых талантливых сотрудников и расширять нашу экспертизу. Перед акционерами и топ-менеджментом стоит стратегическая задача обеспечить значительный рост бизнеса».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru