Immaginate di poter usufruire di un budget illimitato per lavare tutti i panni che volete, quando volete. Beh, se nei pressi di casa vostra c’è una lavanderia gestita da CSC ServiceWorks è possibile. Però attenzione: possibile non significa “legale”.
Bucato gratis per migliaia di studenti
Pochi giorni fa ha iniziato a circolare la notizia che due studenti americani dell’università di Santa Cruz – potremmo anche definirli due nerd – hanno scovato per puro caso una vulnerabilità nell’applicazione che gestisce il funzionamento delle lavatrici smart dell’azienda che opera in campus universitari e residence in America, Canada ed Europa. Una falla nella sicurezza che ha permesso fino ad oggi a milioni di studenti di fare il bucato gratis.
Milioni di dollari di budget
Tutto è iniziato quando Alexander Sherbrooke, uno dei due nerd di cui sopra, ha sviluppato un codice per avviare una lavatrice smart che, inaspettatamente, ha iniziato a funzionare anche senza la disponibilità di credito. Ma non è tutto: sempre attraverso l’applicazione, molti studenti sono riusciti a caricare milioni di dollari (inesistenti) sul conto della lavanderia, in modo da poter usufruire del servizio virtualmente in eterno.
La falla nei server dell’azienda
I due studenti hanno cercato di mettersi in contatto con l’azienda, che tuttavia non ha dato riscontri, già dal gennaio scorso. Certo, i milioni di fantadollari sono stati rimossi dai conti, ma la vulnerabilità non è stata ancora rimossa e il trucco è ancora praticabile, in quanto chiunque con un minimo di pazienza può accedere senza filtri all’API, l’interfaccia di programmazione dell’applicazione che permette di utilizzare le lavatrici, arrivando a interfacciarsi direttamente con i server dell’azienda, che – come si legge sul sito specializzato Red Hot Cyber – sono stati accidentalmente pubblicati dalla stessa CSC ServiceWorks.
Una falla nel sistema decisamente grossa, che dimostra quanto la digitalizzazione massiva degli ultimi anni abbia lasciato indietro concetti come la sicurezza dei sistemi. Se poi consideriamo che l’azienda vanta di possedere una rete di oltre un milione di lavatrici installate nel mondo, è facile comprendere quale sia stato il danno economico di questa distrazione.
Un precedente pericoloso
La scoperta di questa vulnerabilità è stata resa nota dai due studenti durante una presentazione al club di sicurezza informatica dell’università di Santa Cruz, che si è tenuto nei giorni scorsi. I due hanno sottolineato come sia assurdo che una grande azienda come la CSC non abbia nemmeno una casella di posta dedicata ai reclami che, in casi come questi, avrebbero potuto salvarla da un buco economico al momento difficilmente quantificabile.
Quanto accaduto deve portare a fare una seria riflessione. Adesso è toccato a un’azienda di lavatrici, ma cosa potrebbe accadere se una falla di sistema di questo tipo venisse scoperta in un impianto idrico, o magari in una centrale elettrica? Se fino a qualche anno fa una cosa del genere sarebbe sembrata fantascienza, adesso dobbiamo fare i conti con un futuro che è già oggi. Nel frattempo, se avete qualcosa da lavare…