Uni-Studenten hacken eine Million Maschinen in Waschsalons
Das Unternehmen CSC Serviceworks betreibt Waschsalons in Nordamerika und Europa, in denen insgesamt über eine Million Waschmaschinen ihren Dienst verrichten. Offenbar wendet es unzureichende Sicherheitsmechanismen an. Das haben zwei Studenten der University of California Santa Cruz herausgefunden, wie TechCrunch berichtet. Einer von ihnen kam eines Tages, in einem "Laundromat" sitzend, auf die Idee, zu versuchen, eine der Waschmaschinen ohne vorhandenes Guthaben zu aktivieren.
➤ Mehr lesen: Wiener bauen Waschmaschine, die hundert Jahre hält
Ein "Oh Scheiße!"-Moment
Zu seinem Erstaunen ging das erstaunlich leicht, schildert Alexander Sherbrooke. Er habe "plötzlich einen 'Oh, Scheiße!'-Moment" gehabt. Über selbst geschriebenen Code und die Mobil-App CSC Go konnte er mit seinem Kollegen Iakov Taranenko ganz einfach Befehle an Waschmaschinen schicken oder dem eigenen Nutzer*innenprofil eine beliebige Guthaben-Summe verpassen. Zum Spaß verschafften sich die Studenten mehrere Millionen Dollar auf ihren Nutzer*innenkonten.
➤ Mehr lesen: Die 5 größten Fails von Dyson: Vom E-Auto bis zur Waschmaschine
Millionen Dollar Guthaben vorgegaukelt
Die App leitete die Informationen an die CSC-Server weiter und diese wurden anstandslos akzeptiert. Den Umstand nutzten die Studenten nicht für lebenslange Gratis-Wäschen aus, sondern versuchten, CSC darüber zu unterrichten. Versuche der Kontaktaufnahme scheiterten, von CSC kam keine Rückmeldung. Das falsche Millionen-Guthaben der Studenten wurde gelöscht, die Sicherheitslücke in den eigenen IT-Systemen wurde allerdings nicht behoben.
➤ Mehr lesen: Über 80 Prozent der Industrie nicht auf Cyberattacken vorbereitet
Unverständnis über Sorglosigkeit des Unternehmens
Nach einer Wartezeit von mehreren Monaten veröffentlichten Sherbrooke und Taranenko schließlich ihre Erkenntnisse. "Ich verstehe einfach nicht, wie ein so großes Unternehmen diese Art von Fehlern machen kann und dann nicht einmal die Möglichkeit bietet, sie zu kontaktieren", sagt Taranenko. "In einem Worst-Case-Szenario können Leute ihre Profile ganz einfach mit Guthaben füllen und das Unternehmen verliert eine Tonne Geld. Warum investiert man nicht in das absolute Minimum und richtet eine E-Mail-Adresse für solche Situationen ein?"