两名学生发现安全漏洞 可能让数百万人免费洗衣服

Illustration by Carlo Cadenas / The Verge

据TechCrunch报道（https://techcrunch.com/2024/05/17/csc-serviceworks-free-laundry-million-machines/），加州大学圣克鲁斯分校的两名学生在几个国家的商用互联网洗衣机中发现了一个漏洞。

这两名学生是Alexander Sherbrooke和Iakov Taranenko，利用了洗衣机app的API来执行一些操作，可以远程命令洗衣机在无需付费的情况下工作，以及更新洗衣账户以显示其中有数百万美元。这些洗衣机的公司CSC ServiceWorks声称，他们在美国、加拿大和欧洲的大学、多住房社区、自助洗衣店等地拥有超过100万台洗衣机和自动售货机（https://www.cscsw.com/about-us/）。

TechCrunch写道，当Sherbrooke和Taranenko在1月份通过电子邮件和电话报告该漏洞时，CSC从未做出回应。尽管如此，学生们告诉媒体，在他们联系该公司后，该公司“悄悄地抹去”了他们帐户中虚假的数百万美元。

由于没有得到回应，这两名学生将自己的发现告诉给其他人。其中包括该公司发布了一份命令列表（https://web.archive.org/web/20240120071238/https://mycscgo.com/api/v1/docs/static/index.html），这两名学生告诉TechCrunch，该命令列表可以连接到CSC ServiceWorks的所有联网洗衣机。CSC ServiceWorks没有立即回应The Verge的置评请求。

CSC的漏洞很好地提醒我们，物联网的安全状况仍未得到解决。对于学生们发现的漏洞，CSC可能承担了风险，但在其他情况下，松懈的网络安全做法使黑客或公司承包商有可能查看陌生人的安全摄像头录像或使用智能插头。

通常，安全研究人员发现这些安全漏洞，并在它们被大量利用之前将其报告出来。但如果负责这些漏洞的公司不作出回应，那就无济于事了。