Waschsalon-API gehackt: Studenten laden Millionen-Guthaben auf

Zwei Studenten entdecken eine Sicherheitslücke im System eines weltweit operierenden Waschsalonbetreibers. Damit lässt sich kostenlos waschen und unbegrenzt Guthaben auf Benutzerkonten aufladen. Die Firma scheint das aber nicht zu jucken.

Studenten hacken Waschsalon

Spät am Abend saß Alexander Sherbrooke, Student an der University of California, Santa Cruz in einem Waschsalon, betrieben von CSC ServiceWorks. Normalerweise bezahlt man bei diesem Betreiber, indem man sich die App CSC Go herunterlädt und dort Guthaben auflädt. Auch das Starten der Maschinen geschieht in der Anwendung. Sherbrook wollte seine Wäsche waschen, hatte aber kein Geld. Also kam er auf eine Idee.

Er versuchte, ein selbstprogrammiertes Skript auszuführen, das der Maschine vor ihm befahl, einen Waschgang durchzuführen. Zu seinem Erstaunen funktionierte das tatsächlich. Zusätzlich war es ihm und seinem Kommilitonen Iakov Taranenko möglich, eines ihrer Benutzerkonten mit Millionen von US-Dollar aufzuladen.

Direkte Kommunikation mit Servern möglich

Die Schwachstelle ist in diesem Fall die API, also die Schnittstelle, die von der CSC Go App genutzt wird, um Daten an die Server des Unternehmens zu senden. Offenbar lassen sich die Sicherheitsvorkehrungen der App leicht umgehen. So konnten Sherbrooke und Taranenko auf direktem Weg Befehle an die Server senden. Laut den Studenten lasse sich damit theoretisch jede Maschine in jedem Waschsalon des weltweit tätigen Betreibers hacken.

Keine Reaktion des Unternehmens

In einem Interview mit TechCrunch sagten die beiden, sie hätten versucht, das Unternehmen auf die Sicherheitslücke hinzuweisen. Kontaktversuche über mehrere unterschiedliche Kanäle wie das Kontaktformular auf der Internetseite der Firma oder per Telefon seien unbeantwortet geblieben. Es sei unklar, ob das Unternehmen überhaupt einen Angestellten für den Bereich IT-Sicherheit hätte.

Zwar wurden die Millionen an Guthaben mittlerweile vom Benutzerkonto der Studenten wieder gelöscht, die Möglichkeit jederzeit neues Guthaben durch das Ausnutzen der Sicherheitslücke aufzuladen oder Waschvorgänge einfach per Skript zu starten, besteht aber weiterhin.

Studenten gehen bei Meldung auf Nummer sicher

Um nicht mit rechtlichen Konsequenzen konfrontiert zu werden, berichteten Sherbrooke und Taranenko ihre Entdeckung zuerst ganz offiziell dem CERT-Koordinationszentrum an der Carnegie Mellon University, das Leitlinien bereitstellt und Sicherheitsforschern hilft, Schwachstellen an Anbieter zu melden.

Oft werden die Finder von Sicherheitslücken nämlich rechtlich belangt, da ihnen im Rahmen ihrer Entdeckungen illegale Cyber-Aktivitäten vorgeworfen werden. So erging es auch einem deutschen IT-Studenten, der nach der Meldung einer Lücke im Ticket-System der Gamescom eine Vorladung der Polizei erhielt.


Siehe auch: