加州大学圣克鲁兹分校的两名学生研究员亚历山大-舍布鲁克（Alexander Sherbrooke）和伊科夫-塔拉嫩科（Iakov Taranenko）发现了一个安全漏洞，该漏洞使 CSC ServiceWorks 运营的 100 多万台洗衣机面临免费赠送洗衣服务的风险。
通常情况下，想要使用该公司服务的人需要在手机上安装 CSC Go 应用程序，加载余额，然后在附近的洗衣机上开始洗衣循环。
任何具备必要知识的人都可以利用这个漏洞，通过远程向这家拥有 90 年历史的公司在美国、加拿大和欧洲的住宅、酒店和大学校园里运营的联网洗衣机发送指令，获得免费洗衣服务。
事情要从今年 1 月初说起，当时 Sherbrooke 正带着笔记本电脑坐在地下室的洗衣房里。
在账户中没有余额的情况下，他尝试运行一个代码脚本，命令面前的洗衣机运行一个洗衣周期，结果成功了。
此外，学生们还在自己的一个洗衣账户中添加了数百万美元，这些钱也出现在了 CSC Mobile Go 应用程序中。
据这两名学生称，该公司仍对漏洞的存在和修复要求一无所知。
1 月初，他们试图通过多种渠道联系 CSC ServiceWorks，如通过在线联系表单发送多条信息和拨打电话，但均无人接听。
该公司没有专门的安全页面来报告安全漏洞。
虽然 CSC ServiceWorks 没有回应学生研究人员，但在他们报告发现后，CSC ServiceWorks 删除了大量账户余额。
不过，该漏洞仍未修复，他们可以增加任何金额。
目前尚不清楚该公司是否正在进行内部修复。
根据两人的说法，该漏洞存在于移动应用程序使用的 API 中，该 API 可帮助设备和应用程序通过互联网相互通信。
他们发现，他们可以直接向 CSC 的服务器发送命令，从而躲过应用程序的安全检查。
学生研究人员告诉本刊，通过直接访问 API 和公司公布的服务器命令公开列表，他们可以找到\"CSC ServiceWorks 连接网络上的每一台洗衣机\"并与之交互。
安全研究人员通常要等三个月才会公开他们的研究成果。
这对学生说，他们等得更久，本月初在大学网络安全俱乐部展示了他们的发现。
他们还与卡内基梅隆大学的 CERT 协调中心分享了他们的发现，该中心提供指导并帮助安全研究人员向供应商披露漏洞。