Дослідник безпеки EatonWorks виявив уразливість у системі SmartTub, яка дозволяє дистанційно керувати гідромасажними ваннами бренду Jacuzzi – налаштовувати температуру, змінювати режими фільтрації та рівень води. Маючи доступ до цих функцій, можна зіпсувати чужий девайс.
Якщо увімкнути нагрівання до максимуму і змінити цикли фільтрації, через кілька днів у вас буде гарячий смердючий суп. Це не виправити ніякими хімікатами, доведеться чистити все вручну.
EatonWorks
Крім того, дослідник отримав доступ до особистих даних користувачів з усього світу, включаючи ім’я, прізвище та адресу електронної пошти.
Програміст вперше помітив проблему зі SmartTub, коли сам спробував увійти в систему як користувач і побачив, як на екрані завантаження на секунду з’явилася панель адміністратора. Потім від нього потрібно «просто завантажити JS-файл і змінити кілька рядків».
Дослідник також зміг зламати програму SmartTub для Android, виявивши URL-адресу, яка давала їм доступ до додаткової панелі адміністратора, в APK-файлі.
EatonWorks неодноразово намагався зв’язатися з Jacuzzi, щоб повідомити про вразливість, але його лише просили надіслати ще більше даних, а то й зовсім ігнорували. Втім, за його спостереженнями, вразливості все ж таки усунули до червня 2022 року.