Kostenlose Waschvorgänge dank App-Sicherheitslücke: Ein humorvoller Blick auf eine ernste Schwachstelle

In einer überraschenden Wendung der technischen Entwicklungen haben zwei clevere Studenten der University of California Santa Cruz (UC Santa Cruz) eine Sicherheitslücke entdeckt, die es ermöglicht, kostenlos Wäsche zu waschen – und zwar nicht nur in einem kleinen Waschsalon, sondern in über einer Million internetfähiger Waschmaschinen eines großen US-Wäschereibetreibers. Die Geschichte, die das US-Technikmagazin TechCrunch am Freitag berichtete, liest sich fast wie ein modernes Märchen – allerdings mit einem ernsten Hintergrund.

Von der Theorie zur Praxis: Studenten hacken Waschmaschinen

Der Zufall wollte es, dass einer der beiden Studenten, nennen wir ihn liebevoll „Tech-Wäscher“, mit seinem Notebook in einem Waschraum saß und sich aus Langeweile mit dem Netzwerkverkehr der Waschmaschinen-App CSC Go beschäftigte. Mit ein wenig technischem Geschick und einem ausgeklügelten Skript gelang es ihm, eine Waschmaschine kostenlos zu starten, obwohl auf dem Wäschekonto kein Guthaben vorhanden war. Schnell wurde klar, dass es sich um mehr als nur einen kleinen Hack handelte – eine systemweite Schwachstelle in der API der CSC Go-App machte dies möglich.

Millionen auf dem Wäschekonto und die Ignoranz des Unternehmens

Unsere findigen Hacker entschieden sich, die Möglichkeiten der Schwachstelle bis aufs Äußerste auszureizen. So buchten sie kurzerhand mehrere Millionen Dollar auf ihr Wäschekonto – was für den einen oder anderen wohl den Traum von lebenslanger kostenloser Wäsche wahr werden ließ. Doch damit endete der Spaß nicht. Als die beiden Studenten versuchten, die Sicherheitslücke an CSC ServiceWorld zu melden, stießen sie auf taube Ohren. E-Mails blieben unbeantwortet und auch ein Anruf brachte keine Lösung. Das Unternehmen zeigte sich wenig interessiert an der brisanten Entdeckung.

Mit CERT Coordination Center und Cybersecurity Club zur Veröffentlichung

Nach gescheiterten Versuchen, das Problem direkt bei CSC ServiceWorld zu melden, wandten sich die Studenten an das CERT Coordination Center der Carnegie Mellon University, eine zentrale Meldestelle für Sicherheitslücken. Nach einer dreimonatigen Wartefrist, die üblicherweise vor der Veröffentlichung solcher Schwachstellen eingehalten wird, präsentierten die beiden ihre Ergebnisse im Mai im Rahmen einer Veranstaltung des Cybersecurity Club der UC Santa Cruz.

CSC bleibt passiv: Das Problem besteht weiter

Erstaunlicherweise reagierte CSC ServiceWorld auch nach der Veröffentlichung kaum. Die Konten der Studenten wurden ohne jegliche Mitteilung auf null gesetzt, aber die Schwachstelle bleibt weiterhin bestehen. Nutzer können nach wie vor ihr Konto aufladen und Waschmaschinen aus der Ferne freischalten – lediglich das physische Drücken des Startknopfes an der Maschine selbst ist noch notwendig.

Fazit: Ein Fall für zukünftige Lehrbücher der IT-Sicherheit

Dieser Fall zeigt einmal mehr, wie wichtig es ist, Sicherheitslücken ernst zu nehmen und schnell zu beheben. Die Anekdote von den zwei Studenten und der „magischen“ Waschmaschine wird sicherlich noch lange in Erinnerung bleiben – als Beispiel dafür, was passiert, wenn Technologie auf Lückenhaftigkeit trifft und Verantwortliche nicht angemessen reagieren. Vielleicht sehen wir ja in Zukunft eine Welle von Studenten, die in Wäschereien in Gummistiefeln herumlaufen, stets auf der Suche nach der nächsten Sicherheitslücke.