Blick in eine Waschmaschine
Nachdem der Befehl per API an die Server geschickt wurde, muss nur noch die "Start"-Taste auf der Waschmaschine gedrückt werden.
Getty Images/iStockphoto

Zwei Studenten der UC Santa Cruz haben eine Sicherheitslücke bei der Waschsalon-Kette CSC Serviceworks entdeckt, durch welche es möglich ist, in mit dem Internet verbundenen Waschmaschinen gratis Wäsche zu waschen, wie das Fachmedium Techcrunch berichtet. Das Unternehmen betreibt seine Waschsalons auf diversen Universitätsgeländen, in Hotels und in Mehrparteienhäusern in den USA, Kanada und Teilen Europas.

Die beiden Studenten, Alexander Sherbrooke und Iakov Taranenko, haben CSC Serviceworks auf die Sicherheitslücke aufmerksam gemacht. Doch das Unternehmen reagierte nicht, der Fehler kann somit nach wie vor ausgenutzt werden. Normalerweise wird Unternehmen eine Frist von frei Monaten gegeben, um auf entdeckte Sicherheitslücken zu reagieren, bevor diese öffentlich gemacht werden. Diese Frist ist längst verstricken, weshalb Sherbrooke und Taranenko nun unter anderem auf Sicherheitskonferenzen darüber informieren. Auch auf Anfragen des Mediums zur Stellungnahme reagierte CSC Serviceworks nicht.

Millionen Dollar für die Wäsche

Sherbrooke erläutert, dass er die Sicherheitslücke entdeckte, während er an einem Morgen im Jänner mit seinem Laptop auf dem Boden des Waschasalons saß. Von seinem Laptop startete er ein Script, mit dem er der Waschmaschine vor ihm eine Anweisung zum Waschen geben konnte, obwohl er kein Guthaben auf seinem Account hatte. Die Maschine meldete sich daraufhin mit einem lauten Piepsen und forderte ihn auf, den "Start"-Knopf zu drücken.

In einem anderen Fall gelang es den beiden Studenten, ihren Accounts einige Millionen Dollar hinzuzufügen, die sie für Waschgänge ausgeben könnten. Dieser Betrag wurde vom Unternehmen mittlerweile wieder auf Null zurückgesetzt.

Direkte Befehle an die Server

Der Fehler findet sich den Studenten zufolge in der API, die von der mobilen App von CSC, CSC Go, verwendet wird. Die API ermöglicht, dass Apps und Geräte miteinander kommunizieren. In diesem Fall wird etwa die CSC Go-App verwendet, um Geld auf den Account zu laden, für einen Waschgang zu bezahlen und einen Waschgang zu starten.

Die Studenten analysierten den Netzwerktraffic, während sie in der App angemeldet waren und stellten so fest, dass sie die Sicherheitsvorkehrungen umgehen und direkt Befehle an die Server von CSC schicken konnten. Dabei nutzten sie eine Liste von Befehlen, die von CSC selbst veröffentlicht wurde.

Auch betonen Sherbrooke und Taranenko, dass jedermann einen neuen Account anlegen und diese Befehle ausführen könne, zumal das Unternehmen auch die Echtheit von Mailadressen nicht prüfe. Dies haben sie verifiziert, indem sie sich probeweise mit einer inexistenten Mailadresse anmeldeten.

Viel Geld

"Ich verstehe nicht, wie ein derart großes Unternehmen so einen gewaltigen Fehler machen und dann nicht auf Kontaktanfragen reagieren kann", wird Taranenko in dem Artikel zitiert: Im schlimmsten Fall würden Menschen einfach ihre Accounts mit viel Geld aufladen und gratis Wäsche waschen, wodurch das Unternehmen viel Geld verliere.

Es sei für ihn "ein Spaß gewesen, diese Art von Sicherheitsforschung im echten Leben und nicht nur in einem simulierten Wettbewerb zu machen". Doch er würde sich auch freuen, wenn das Unternehmen sich bei den offensichtlichen Problemen helfen ließe. (stm, 19.5.2024)