FILE PHOTO: A woman waits at a laundromat in downtown Los Angeles

Uni-Studenten hacken eine Million Maschinen in Waschsalons

18.05.2024

Waschmaschinen können ohne Guthaben gestartet werden. Betreiberfirma reagiert nicht auf Warnung, Bug ist bis heute nicht gefixt.

Das Unternehmen CSC Serviceworks betreibt Waschsalons in Nordamerika und Europa, in denen insgesamt über eine Million Waschmaschinen ihren Dienst verrichten. Offenbar wendet es unzureichende Sicherheitsmechanismen an. Das haben zwei Studenten der University of California Santa Cruz herausgefunden, wie TechCrunch berichtet. Einer von ihnen kam eines Tages, in einem "Laundromat" sitzend, auf die Idee, zu versuchen, eine der Waschmaschinen ohne vorhandenes Guthaben zu aktivieren.

➤ Mehr lesen: Wiener bauen Waschmaschine, die hundert Jahre hält

Ein "Oh Scheiße!"-Moment

Zu seinem Erstaunen ging das erstaunlich leicht, schildert Alexander Sherbrooke. Er habe "plötzlich einen 'Oh, Scheiße!'-Moment" gehabt. Über selbst geschriebenen Code und die Mobil-App CSC Go konnte er mit seinem Kollegen Iakov Taranenko ganz einfach Befehle an Waschmaschinen schicken oder dem eigenen Nutzer*innenprofil eine beliebige Guthaben-Summe verpassen. Zum Spaß verschafften sich die Studenten mehrere Millionen Dollar auf ihren Nutzer*innenkonten.

➤ Mehr lesen: Die 5 größten Fails von Dyson: Vom E-Auto bis zur Waschmaschine

Millionen Dollar Guthaben vorgegaukelt

Die App leitete die Informationen an die CSC-Server weiter und diese wurden anstandslos akzeptiert. Den Umstand nutzten die Studenten nicht für lebenslange Gratis-Wäschen aus, sondern versuchten, CSC darüber zu unterrichten. Versuche der Kontaktaufnahme scheiterten, von CSC kam keine Rückmeldung. Das falsche Millionen-Guthaben der Studenten wurde gelöscht, die Sicherheitslücke in den eigenen IT-Systemen wurde allerdings nicht behoben.

➤ Mehr lesen: Über 80 Prozent der Industrie nicht auf Cyberattacken vorbereitet

Unverständnis über Sorglosigkeit des Unternehmens

Nach einer Wartezeit von mehreren Monaten veröffentlichten Sherbrooke und Taranenko schließlich ihre Erkenntnisse. "Ich verstehe einfach nicht, wie ein so großes Unternehmen diese Art von Fehlern machen kann und dann nicht einmal die Möglichkeit bietet, sie zu kontaktieren", sagt Taranenko. "In einem Worst-Case-Szenario können Leute ihre Profile ganz einfach mit Guthaben füllen und das Unternehmen verliert eine Tonne Geld. Warum investiert man nicht in das absolute Minimum und richtet eine E-Mail-Adresse für solche Situationen ein?"