Une vulnérabilité critique a été découverte dans plus d’un million de machines à laver gérées par CSC ServiceWorks, affectant potentiellement des résidences et campus à travers le monde. Cette faille de sécurité, identifiée par deux étudiants de l’Université de Californie à Santa Cruz, permet de lancer des cycles de lavage sans paiement et de manipuler les soldes de compte via l’application dédiée.

🔍 Découverte Étudiante : Alexander Sherbrooke et Iakov Taranenko ont exploité une brèche dans l’API de l’application mobile des machines, permettant non seulement de démarrer les machines sans frais mais aussi de créditer de façon frauduleuse des montants astronomiques sur leurs comptes utilisateurs. En utilisant des scripts simples, ils ont démontré comment ils pouvaient contrôler les machines à distance et déjouer les vérifications de sécurité qui sont toutes effectuées côté client.

💡 Conséquences pour CSC ServiceWorks : La société, qui se présente comme le principal fournisseur de solutions de blanchisserie en Amérique du Nord et en Europe, n’a pas encore pris les mesures nécessaires pour rectifier cette faille. L’absence de réaction adéquate pourrait non seulement entraîner des pertes financières substantielles mais aussi éroder la confiance des millions d’utilisateurs quotidiens.

🌐 Appel à l’Action : Face à l’inaction de l’entreprise, les étudiants ont pris l’initiative d’alerter les médias et le Centre de coordination CERT de l’Université Carnegie Mellon, espérant une résolution rapide pour éviter d’éventuelles exploitations malveillantes de cette vulnérabilité.