كشفت ثغرة أمنية في أجهزة الغسيل المتصلة بالإنترنت عن إمكانية تمكين ملايين الطلاب من غسل ملابسهم مجانًا، وذلك بفضل اكتشاف اثنين من طلاب جامعة كاليفورنيا، سانتا كروز، وفقًا لتقرير نشره موقع تِك كرانش.
الطالبان، ألكسندر شيربروك وياكوف تارانينكو، استغلا واجهة برمجة التطبيقات (API) الخاصة بتطبيق هذه الأجهزة لتنفيذ أوامر مختلفة، مثل تشغيلها عن بُعد دون دفع وإضافة ملايين الدولارات إلى حسابات الغسيل.
وقد أبلغ الطالبان الشركة المالكة للأجهزة، وهي شركة CSC ServiceWorks، بهذه الثغرة عبر البريد الإلكتروني والمكالمات الهاتفية في يناير الماضي، لكن الشركة لم ترد على تقاريرهم.
تدير شركة CSC أكثر من مليون جهاز غسيل وآلات بيع في الجامعات والمجتمعات السكنية ومتاجر الغسيل في الولايات المتحدة وكندا وأوروبا.
ورغم عدم استجابة الشركة لمراسلات الطالبين، أفاد كل من شيربروك وتارانينكو بأن الشركة أزالت الأموال الزائفة من حساباتهم بهدوء بعد تواصلهم معها.
ونتيجة لعدم رد الشركة، قرر الطالبان مشاركة اكتشافاتهم مع الآخرين، موضحين أن قائمة الأوامر المنشورة من قبل الشركة تتيح الاتصال بجميع أجهزة الغسيل المتصلة بشبكة CSC.
تعتبر هذه الثغرة تذكيرًا مهمًا بأن الأمان في مجال “إنترنت الأشياء” لا يزال غير محسوم.
ففي هذه الحالة، قد تكون CSC هي المسؤولة عن الثغرة، لكن في حالات أخرى، تؤدي ممارسات الأمان الضعيفة إلى تمكين المخترقين أو موظفي الشركات من مشاهدة لقطات كاميرات الأمن أو الوصول إلى المقابس الذكية.
وغالبًا ما يكتشف الباحثون الأمنيون هذه الثغرات ويبلغون عنها قبل أن يتم استغلالها بشكل فعلي. لكن هذا لا يكون مجديًا إذا لم تستجب الشركات المسؤولة عن هذه الثغرات.