Mücadele gerçek: Üniversiteye ne kadar zaman önce gitmiş olursanız olun, çamaşır gününü hatırlama olasılığınız yüksektir. Korkunç angarya, pis kokulu kıyafetlerinizi toplayıp kampüs içindeki veya dışındaki bir çamaşırhaneye götürmenizi gerektiriyordu. Daha da kötüsü, sınırlı bira paranızı bu göreve harcamak zorunda kaldınız (yoksa bu sadece ben miydim?).
Kaliforniya’daki iki üniversite öğrencisi, bir güvenlik açığından yararlanarak ücretsiz çamaşır yıkama hizmeti almanın bir yolunu buldu. Hata, ABD, Kanada ve Avrupa’da CSC ServiceWorks tarafından işletilen bir milyondan fazla internet bağlantılı çamaşır makinesini etkiliyor. Kusur düzeltilmeden kalır.
Santa Cruz’daki Califonia Üniversitesi’ne giden öğrenciler Alexander Sherbrooke ve Iakov Taranenko, arızalı çamaşır makinelerinden sınırsız ücretsiz çamaşır yıkama döngüsü elde etmenin birçok yolunu keşfettiler. Kusur, CSC’nin mobil uygulaması “CSC Go” ile arka uç sunucuları arasında mevcut. Ancak öğrenciler bir açıklığı bulduklarında aktif olarak aramıyorlardı (tabii ki bulmadılar).
Sherbrooke, TechCrunch’a bir Ocak sabahı bodrum katındaki çamaşırhanenin zemininde dizüstü bilgisayarıyla oturduğunu ve “aniden bir ‘kahretsin’ anı yaşadığını” söyledi. Daha sonra hızlı bir şekilde uygulamaya makineyi başlatma talimatını veren basit bir komut dosyası yazdı. Çamaşırhane hesabında parası olmadığı için senaryosunun işe yaramayacağına karar verdi. Makinenin ışığı yandı ve “Başlat” yazısını göstermesi onu şaşırttı.
Sherbrooke, arkadaşı Taranenko ile temasa geçti ve ikisi, sınırları ne kadar zorlayabileceklerini görmek için başka deneyler denedi. İstedikleri kadar ileri gidebilecekleri ortaya çıktı. Bir vakada, çamaşırhane hesaplarından birine birkaç milyon dolar eklediklerini iddia ettiler. Saçma depozitoya rağmen uygulama multimilyon dolarlık bir bakiye gösterdi.
CSC ServiceWorks’e bildirimde bulunmaya çalışan öğrenciler, hataları veya güvenlik açıklarını bildirmeye yönelik resmi bir yöntemin bulunmadığını fark etti. Bu yüzden web sitesinin iletişim sayfası aracılığıyla birkaç mesaj gönderdiler, ancak şirket asla yanıt vermedi. CSC’ye telefon etmeyi denediler ama bu da hiçbir sonuç vermedi. Kusuru doğrudan bildirmek için başka bir yolu olmayan öğrenciler, açığın satıcıya ifşa edilmesi konusunda yardım almak için Carnegie Mellon Üniversitesi’nin CERT Koordinasyon Merkezi ile temasa geçti.
CSC’ye bildirimde bulunmaya çalıştığımızdan bu yana neredeyse beş ay geçti, ancak hata yamalanmamış durumda ve öğrenci araştırmacıları kusuru kamuya açıklamaya teşvik ediyor. Şaşırtıcı olmayan bir şekilde, Sherbrooke ve Taranenko, hatayı ilk olarak Mayıs ayı başlarında UCSC siber güvenlik kulübü toplantısında paylaştılar ve ardından geçen hafta sonu medyaya gittiler. Muhtemelen siber güvenlik kulübü üyeleri her hafta sonu ellerinde çamaşır sepetleriyle durumu “izliyor”, böylece şirketin kusuru düzelttiğini bildirebiliyorlar.
Öğrenciler, açıkların işe yaradığını çünkü CSC Go uygulamasının cihazdaki tüm işlemsel güvenlik doğrulamalarını gerçekleştirdiğini söylüyor. Öğrenciler, uygulamanın API’sinden yararlanarak uygulamanın doğrulama sürecini atlar ve komutları doğrudan sunuculara gönderir. CSC sunucuları, uygulamadan geldiğini düşündükleri için gelen komutlara otomatik olarak güvenirler. Bu, BT birinci sınıf öğrencilerine neden her zaman arka uç işlem işlemlerini ayarlamayı öğrettiğinize dair bir örnek olay çalışmasıdır.
TechCrunch yorum almak için CSC ile iletişime geçmeyi denedi ancak kimse e-postaya geri dönmedi.
Resim kredisi: Alberto_VO5