Alunos universitários descobriram uma falha crítica de segurança em um aplicativo móvel amplamente utilizado para lavanderia conectada à internet. Alexander Sherbrooke e Iakov Taranenko, estudantes da Universidade da Califórnia, identificaram uma brecha que permitia o uso gratuito de mais de um milhão de máquinas de lavar operadas pela empresa CSC ServiceWorks.
A vulnerabilidade estava presente na API do aplicativo CSC Go, empregado para pagamentos dos serviços de lavanderia. Explorando a falha, os alunos conseguiram enviar comandos às máquinas operadas pela empresa, iniciando ciclos de lavagem sem custos. Além disso, lograram adicionar saldos falsos milionários às contas do aplicativo.
Sherbrooke revelou que, ao executar um script de código enquanto estava na lavanderia da faculdade, uma máquina iniciou o processo de lavagem mesmo sua conta não possuindo saldo. Desde janeiro, a dupla tentou contatar a CSC ServiceWorks por diversas mensagens e ligações para informar sobre o problema de segurança, porém, não obteve retorno.
Impacto global da falha
As máquinas de lavar afetadas estão disponíveis em hotéis, universidades e residências nos Estados Unidos, Canadá e Europa. A brecha de segurança permitia que qualquer usuário explorasse o serviço gratuitamente nessas localidades, gerando perdas financeiras à empresa e possíveis abusos pelos consumidores.
O caso destaca a importância de adotar práticas rigorosas de segurança cibernética em aplicativos e dispositivos conectados à internet, visando proteger dados sensíveis e evitar vulnerabilidades que possam ser exploradas de maneira maliciosa ou acidental.
