Im Jahr 2024 haben zwei Studenten der University of California Santa Cruz (UC Santa Cruz) eine Sicherheitsl\u00fccke in den Waschmaschinen des gro\u00dfen US-W\u00e4schereibetreibers CSC ServiceWorld entdeckt. Durch die Ausnutzung dieser Schwachstelle ist es m\u00f6glich, mehr als eine Million vernetzte Waschmaschinen in \u00f6ffentlichen W\u00e4schereien in Wohnheimen und auf dem Campus von Universit\u00e4ten kostenlos zu nutzen.<\/p>\n
Die beiden Studenten haben eine Schwachstelle gefunden, die es ihnen erm\u00f6glicht, aus der Ferne Befehle an die internetf\u00e4higen Waschmaschinen zu senden. Beispielsweise k\u00f6nnen sie den Waschvorgang starten, auch wenn kein ausreichendes Guthaben auf dem W\u00e4schekonto vorhanden ist. Einer der Studenten stie\u00df zuf\u00e4llig auf diese L\u00fccke, als er mit seinem Laptop in einem Waschraum sa\u00df. Durch das Ausf\u00fchren eines Skripts konnte er bewirken, dass eine Waschmaschine ohne ausreichendes Guthaben einen Waschgang startete.<\/p>\n
Die vermutete Schwachstelle liegt offenbar in einer API, die von der mobilen App CSC Go zur Verwaltung von Konten und Bezahlung von Waschvorg\u00e4ngen genutzt wird. Die Studenten entdeckten, dass es m\u00f6glich war, die CSC-Server dazu zu bringen, Befehle anzunehmen, die den Kontostand ver\u00e4ndern. Die Sicherheits\u00fcberpr\u00fcfungen wurden ausschlie\u00dflich auf den Ger\u00e4ten der Studenten durchgef\u00fchrt. Um diese Informationen zu erhalten, haben die Studenten den Datenverkehr zwischen der CSC-Go-App und den CSC-Servern untersucht. Anschlie\u00dfend haben sie angeblich mehrere Millionen Dollar auf ein W\u00e4schekonto gebucht.<\/p>\n
Die Meldung der Sicherheitsl\u00fccke an CSC ServiceWorld gestaltete sich schwieriger als erwartet. Im Januar haben die beiden Studenten mehrere E-Mails \u00fcber das Kontaktformular des Unternehmens geschickt, jedoch keine Antwort erhalten. Das W\u00e4schereiunternehmen verf\u00fcgt \u00fcber keine dedizierte Webseite f\u00fcr die Meldung von Sicherheitsproblemen. Auch ein Telefonat mit dem Unternehmen war erfolglos.<\/p>\n
Daher haben die Studenten ihre Untersuchungsergebnisse an das CERT Coordination Center geschickt, das an der Carnegie Mellon University (CMU) angesiedelt ist. Dieses Zentrum fungiert als eine Art Meldesystem f\u00fcr Sicherheitsl\u00fccken, die dann an die Hersteller weitergeleitet werden. Dar\u00fcber hinaus werden die Sicherheitsprobleme dort untersucht und gegebenenfalls L\u00f6sungen und Anleitungen zur Behebung bereitgestellt.<\/p>\n
Erstmalig im Mai wurden die Ergebnisse nach einer Wartefrist von \u00fcber drei Monaten, die \u00fcblicherweise f\u00fcr die Ver\u00f6ffentlichung von Sicherheitsl\u00fccken eingehalten wird, auf einer Pr\u00e4sentation des Cybersecurity Clubs der UC Santa Cruz ver\u00f6ffentlicht. Obwohl CSC bisher nicht geantwortet hatte, wurden die Konten der Studenten ohne jegliche Benachrichtigung auf null gesetzt. Das W\u00e4schereiunternehmen hat keine weiteren Ma\u00dfnahmen ergriffen. Es besteht immer noch die M\u00f6glichkeit, die Sicherheitsl\u00fccke auszunutzen, um das Konto aufzuladen und eine Waschmaschine von CSC aus der Ferne freizuschalten. Es ist lediglich erforderlich, den physischen Startknopf der jeweiligen Waschmaschine zu dr\u00fccken.<\/p>\n
Schlagw\u00f6rter: CSC ServiceWorld + UC Santa Cruz + TechCrunch<\/p>\n","protected":false},"excerpt":{"rendered":"
Im Jahr 2024 haben zwei Studenten der University of California Santa Cruz (UC Santa Cruz) eine Sicherheitsl\u00fccke in den Waschmaschinen des gro\u00dfen US-W\u00e4schereibetreibers CSC ServiceWorld entdeckt. Durch die Ausnutzung dieser Schwachstelle ist es m\u00f6glich, mehr als eine Million vernetzte Waschmaschinen in \u00f6ffentlichen W\u00e4schereien in Wohnheimen und auf dem Campus von...<\/p>\n","protected":false},"author":4,"featured_media":7850,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-7851","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/7851","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=7851"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/7851\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/7850"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=7851"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=7851"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=7851"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}