Владелец «умного» джакузи взломал сервера всей сети и смог управлять чужими ванными
Исследователь безопасности EatonWorks обнаружил уязвимость в системе SmartTub, которая позволяет дистанционно управлять гидромассажными ваннами бренда Jacuzzi — настраивать температуру, менять режимы фильтрации и уровень воды
Имея доступ к этим функциям, можно испортить чужой девайс. «Если включить нагрев до максимума и изменить циклы фильтрации, через несколько дней у вас будет горячий вонючий суп. Это не исправить никакими химикатами, придётся чистить всё вручную», — указано в сообщении EatonWorks.
Исследователь также получил доступ к персональным данным пользователей со всего мира, включая имена, фамилии и адреса электронной почты.
Что еще известно:
Программист впервые заметил проблему со SmartTub, когда сам попытался войти в систему как пользователь — и увидел, как на экране загрузки на секунду появилась панель администратора. Затем от него потребовалось «просто скачать JS-файл и изменить несколько строк».
Он также смог взломать приложение SmartTub для операционной системы Android, обнаружив URL-адрес, который давал им доступ к дополнительной панели администратора.
EatonWorks неоднократно пытался связаться с Jacuzzi, чтобы сообщить об уязвимости, но исследователя лишь просили прислать еще больше данных, а то и вовсе игнорировали. По его наблюдениям, уязвимости к июню 2022 года были устранены.
Следить за событиями удобно в нашем новостном телеграм-канале. Присоединяйтесь