Честный хакер отказался от халявной пиццы

Британский хакер Пол Прайс обнаружил ошибку в приложении для заказа пиццы. Баг позволял заказывать пиццу бесплатно, но будучи порядочным человеком, Прайс не стал пользоваться ошибкой в корыстных целях, передает сайт Ifc0nfig.

Прайс заметил, что информация о платежах в местной пиццерии обрабатывается некорректно. Обычно обработка платежей происходит на сервере, но приложение API британской версии приложения для Android обрабатывало платежи прямо на стороне клиента. Хакер выяснил, что приложение можно обмануть и заставить сервер поверить, что недействительный платеж прошел. Для проверки Прайс ввел в приложение номер карты Visa 4111111111111111 и получил предсказуемый ответ с ошибкой.

Затем Пол попытался подменить значение атрибута на ACCEPTED и на 1 (это означает, что транзакция прошла успешно). К удивлению Прайса его тестовый заказ был успешно принят, а платеж отмечен как состоявшийя. Хакер не поверил и решил, что информацию о заказе проверят, и тогда точно раскроется мошенничество. Однако вскоре статус заказа в приложении изменился, а через полчаса Прайсу доставили еду на сумму 26 фунтов стерлингов (около 2 550 рублей).

«Первой моей мыслью было – круто! Второй мыслью было — отстой», — написал хакер в своем блоге.

В итоге Прайс сказал курьеру, что произошла ошибка, он не вводил в приложение данные банковской карты и хотел расплатиться наличными. Оплатив счет наличными, он сообщил о найденной уязвимости разработчикам приложения. Сейчас ошибка устранена, а компания поблагодарила Пола за честность.