Manapság az IoT nem újkeletű dolog, és egyre több eszközt kötnek az Internetre, hogy távolról is lehessen vezérelni. Esetleg pusztán csak azért, hogy mobilapplikációval egybekötve lehessen valamilyen szolgáltatást eladni. Ez utóbbit tette a CSC ServiceWorks is, akik egyetemeken és hotelekben üzemeltetnek mosodákat. Az Európában és Észak-Amerikában is jelenlévő cég összesen mintegy egymillió mosógép üzemeltetéséért felel.
A mosodákban lévő mosógépeket mobilapplikációval lehet vezérelni. Az ügyfeleknek regisztrálniuk kell egy felhasználói fiókot, fel kell tölteniük annak belső egyenlegét, majd a mobilappon keresztül kiválaszthatják a használni kívánt mosógépet és elindíthatják a mosást.
Alexander Sherbrooke és Iakov Taranenko még januárban rájött egy súlyos hiányosságra a CSC rendszerében. A két egyetemista felfedezte, hogy csak a mobilapplikáció ellenőrzi az ügyfél egyenlegét, a backend oldali kód nem.
Ezután elkezdtek kísérletezni, és API hívásokat kezdeményeztek a CSC központi szervere felé. A szerver elfogadta a hívást, és elindította a mosást még akkor is, ha az adott ügyfélfiókban nem volt fedezet a szolgáltatás igénybevételéhez.
A két hallgató január óta többször is jelezte a problémát a CSC-nek, de azok nem reagáltak rá, így nyilvánosságra hozták a sebezhetőségről összegyűjtött információkat. Azt remélik, hogy a sajtóvisszhang miatt talán tesz valamit a cég.