Ada celah keamanan yang bisa membiarkan jutaan mahasiswa kuliah mencuci pakaian gratis, berkat satu perusahaan. Itu karena adanya kerentanan yang ditemukan dua mahasiswa Universitas California, Santa Cruz dalam mesin cuci yang terhubung internet yang digunakan secara komersial di beberapa negara, menurut TechCrunch.
Kedua mahasiswa, Alexander Sherbrooke dan Iakov Taranenko, tampaknya memanfaatkan API untuk aplikasi mesin tersebut untuk melakukan hal-hal seperti memerintahkannya bekerja secara remote tanpa pembayaran dan memperbarui akun laundry untuk menunjukkan bahwa memiliki jutaan dolar di dalamnya. Perusahaan yang memiliki mesin-mesin itu, CSC ServiceWorks, mengklaim memiliki lebih dari satu juta mesin cuci dan vending yang beroperasi di perguruan tinggi, komunitas perumahan, laundry, dan lainnya di AS, Kanada, dan Eropa.
CSC tidak pernah merespons ketika Sherbrooke dan Taranenko melaporkan kerentanannya melalui email dan telepon pada bulan Januari, TechCrunch menulis. Meskipun begitu, para mahasiswa memberitahu media tersebut bahwa perusahaan “diam-diam menghapus” jutaan palsu mereka setelah mereka menghubunginya.
Ketidakresponsifan membuat mereka memberitahukan orang lain tentang temuannya. Termasuk bahwa perusahaan memiliki daftar perintah yang dipublikasikan, yang kedua mahasiswa tersebut memberitahu TechCrunch memungkinkan untuk terhubung ke semua mesin cuci jaringan CSC. CSC ServiceWorks tidak segera merespons permintaan komentar dari The Verge.
Kerentanan CSC adalah pengingat bagus bahwa situasi keamanan dengan internet hal-hal masih belum terselesaikan. Untuk eksploitasi yang ditemukan mahasiswa, mungkin CSC memikul risiko, tapi dalam kasus lain, praktik keamanan siber yang lemah telah membuat mungkin bagi peretas atau kontraktor perusahaan untuk melihat rekaman kamera keamanan orang asing atau mendapatkan akses ke stop kontak pintar.
Seringkali, para peneliti keamanan menemukan lubang keamanan ini dan melaporkannya sebelum mereka bisa dieksploitasi di alam liar. Tapi itu tidak berguna jika perusahaan yang bertanggung jawab tidak merespons.