Uma dupla de estudantes da Universidade da Califórnia, nos Estados Unidos, descobriu uma falha de segurança que permite “invadir” o sistema de máquinas de lavar conectadas à internet. Ao TechCrunch, os alunos Alexander Sherbrooke e Iakov Taranenko explicaram que, graças a uma brecha, é possível utilizar gratuitamente um serviço oferecido em universidades de diversos países.

Entenda:

publicidade
  • Dois estudantes da Universidade da Califórnia, nos Estados Unidos, descobriram uma falha de segurança que permite “invadir” máquinas de lavar conectadas à internet;
  • A dupla encontrou a vulnerabilidade na API de um app da empresa CSC ServiceWorks, que opera mais de um milhão de máquinas de lavar em hotéis, universidades e residências nos Estados Unidos, Canadá e Europa;
  • O bug permite enviar comandos remotos para utilizar as máquinas gratuitamente, ou recarregar a conta do app com uma quantia falsa de dinheiro;
  • Os estudantes tentaram entrar em contato com a CSC, mas não obtiveram resposta da empresa;
  • As informações são do TechCrunch.
(Imagem: Andrey_Popov / Shutterstock)

A vulnerabilidade foi apontada em mais de um milhão de máquinas de lavar operadas pela CSC ServiceWorks, disponíveis em hotéis, universidades e residências nos Estados Unidos, Canadá e Europa. O bug foi encontrado em uma API do aplicativo móvel da empresa, CSC Go, utilizado para que os usuários realizem o pagamento pelos serviços de lavanderia. 

Leia mais:

publicidade

Brecha em aplicativo de máquinas de lavar inteligentes permitiu uso gratuito

Como disseram os estudantes, a brecha no app permite que qualquer usuário envie comandos para as máquinas operadas pela empresa e utilize os dispositivos inteligentes sem precisar pagar pelo serviço ou, então, atualize sua conta do aplicativo para mostrar um saldo falso.

(Imagem: Said Fx / Shutterstock)

Sherbrooke contou que estava na lavanderia da faculdade quando executou um script de código com instruções para iniciar um ciclo de lavagem na máquina – apesar de não ter nenhum saldo em sua conta. Em outro caso, os estudantes conseguiram adicionar um saldo falso de milhões de dólares a uma das contas do CSC Go.

publicidade

A dupla disse que, desde janeiro, chegou a enviar várias mensagens à CSC ServiceWorks e até tentou realizar uma ligação por telefone para informar sobre a falha, mas a empresa não retornou o contato.