Bisnis.com, JAKARTA – Dua mahasiswa asal Amerika Serikat berhasil meretas aplikasi yang terpasang di mesin cuci. Praktek ini membuat saldo cucian mereka tidak ada habisnya.

Dua siswa bernama Alexander Sherbrooke dan Iakov Taranenko, dilansir dari Verge, Senin (20/5/2024), memanfaatkan API di aplikasi mesin cuci untuk mengontrol mesin cuci dari jarak jauh secara gratis dan memperbarui akun cuci untuk menunjukkan bahwa ada jutaan produk. dolar untuk itu.

Antarmuka Pemrograman Aplikasi (API) memungkinkan aplikasi dan perangkat berkomunikasi melalui Internet. Dalam hal ini, kerentanan terjadi pada aplikasi CSC Go.

Aplikasi ini digunakan untuk menambahkan uang ke rekening pengguna, membayar dan mulai memuat barang ke mesin terdekat.

CSC ServiceWorks menyediakan mesin cuci yang terhubung ke Internet ke tempat tinggal dan kampus di Amerika Serikat, Kanada, dan Eropa. Perusahaan juga memasok berbagai barang rumah tangga ke lokasi seperti pompa bensin, toko serba ada, hotel dan universitas.

Menurut para siswa, mereka mampu memanipulasi server CSC untuk menerima instruksi yang mengubah saldo akun mereka.

Hal ini dikarenakan sistem keamanan yang diterapkan aplikasi pada perangkat pengguna secara otomatis dipercaya oleh server CSC. Dengan cara ini, mereka dapat membayar barang-barang mereka tanpa menyetorkan uang ke rekening mereka.

Sherbrooke dan Taranenko menemukan bahwa mereka dapat melewati pemeriksaan keamanan aplikasi dan mengirim perintah langsung ke server CSC dengan menganalisis lalu lintas jaringan saat masuk dan menjalankan aplikasi CSC Go.

Pembaca juga mengatakan bahwa API yang buruk dapat berpotensi menghasilkan sesuatu yang lebih penting. Lubang-lubang ini menunjukkan batas-batas sistem keamanan yang dapat ditembus.

Hal ini dapat menimbulkan bahaya kebakaran. Jika dibiarkan, lama kelamaan akan ada aktor jahat yang bisa menafsirkan naskah Sherbrooke dan Taranenko untuk memanfaatkan bahaya.

Serbrooke dan Taranenko telah mencoba menghubungi CSC sejak Januari melalui email dan telepon tentang kebocoran keamanan, namun belum mendapat tanggapan.

Setelah menunggu lebih dari tiga bulan, para mahasiswa mempublikasikan laporan mereka ke klub keamanan siber universitas pada bulan Mei. Menurut mereka, CSC akhirnya menarik uang tersebut dari rekening mereka namun tidak memperbaiki kelemahannya.

Mereka bahkan menghubungi Pusat Koordinasi CERT di Universitas Carnegie Mellon untuk mencoba membantu menemukan bug tersebut dan memberikan solusi, namun upaya ini tidak berhasil.

Saat ini, siapa pun yang memiliki pengetahuan teknis dapat mencuci pakaian secara gratis. (Muhammad Diva Farel Ramadhan)

Simak berita dan artikel lainnya di Google News dan WA Channel