פיקוד העורף הגל השקט

הגדרת ישובים להתרעה
      הגדרת צליל התרעה

      נושאים חמים

      אנגליה: באג באפליקציית דומינוס פיצה אפשר להזמין חינם

      יועץ האבטחה הבריטי, פול פרייס, מיהר להודיע לענקית הפיצות העולמית כי האפליקציה שלהם באנגליה מאפשרת למי שיודע קצת תכנות לקבל פיצות מבלי לשלם. מעניין כמה ניצלו את הפרצה הזו עד כה?

      האם במהלך שלוש השנים האחרונות נהנו האקרים בריטים מפיצות בחינם, הודות לבאג חובבני באפליקציית האנדרואיד הרשמית של דומינוס פיצה? זו בהחלט המסקנה העולה מחשיפתו של פול פרייס, יועץ אבטחה במקצועו, שגילה את הבאג במקרה, אבל החליט לעשות את הדבר הנכון ולדווח עליו לדומינוס.

      הבאג מתמקד במערכת התשלום של דומינוס, הבודקת את תקינותו של מספר כרטיס האשראי אותו הזין המשתמש למערכת. לאחר הבדיקה, מחזיקה המערכת תשובה חיובית או שלילית בנוגע לקבלת פרטי הכרטיס, אך מתברר שאת התשובה הזו ניתן היה לשנות בקלות תוך שימוש בכלי מערכת בסיסיים המוכרים למפתחי אפליקציות אנדרואיד.

      פיצה משפחתי ואצבעות גבינה של דומינוס (יח"צ)
      אם הייתם האקרים בבריטניה כל זה היה שלכם, בחינם. צילום: דן פרץ

      פרייס פשוט החליף את הערך "נדחה" בערך "התקבל" במערכת התשלום, והזמין פיצה באמצעות מספר אשראי מזויף לחלוטין. הוא לא האמין שזה יעבוד כל כך בקלות אבל למרבה הפתעתו של פרייס, ההזמנה יצאה לדרך.

      לפול הישר לא הייתה כל כוונה ליהנות מהפיצה הגנובה, ולאחר שווידא מול הסניף כי הזמנתו אכן התקבלה באופן תקין לחלוטין הוא חיכה לשליח, הודיע לו שהייתה תקלה בהזמנה ושילם במזומן. לאחר מכן הוא הודיע להנהלת החברה על התקלה והיא אכן תוקנה זמן קצר לאחר מכן.

      אבל כידוע, לא כולם ישרים כמו פרייס וסביר להניח שמשתמשים רבים נוספים הספיקו לנצל את הבאג הבסיסי הזה ולא טרחו לספר על כך לאיש כדי להמשיך ולהזמין פיצות בחינם.

      עוד בנושא:

      האקר פרסם סרטון המדגים איך ניתן לפרוץ לכל חשבון פייסבוק. צפו
      רובוט הטוורקינג: זה כנראה הגאדג'ט הכי סקסיסטי שהמציא האינטרנט