ثغرة تمنح قرصان الكتروني "دومينوز بيتزا" مدى الحياة!

أدار "هاكر" مقيم في لندن ظهره لثغرةً اكتشفها تُمكّنه من طلب بيتزا من "دومينوز" بالمجان, بسبب شعوره بالذنب واتصل بالمتجر لإصلاحها.

وذكرت صحيفة "التلغراف" البريطانية يوم الجمعة، أن خبير الأمن الإلكتروني المقيم في لندن بول برايس شرح بمنشور خاص على مدونته، كيف استغل خللاً وجده في تطبيق الهاتف لطلب البيتزا بعد أن لاحظ أنه بمجرد انتهاء العملاء من الطلب في بعض الأحيان تصلهم قسيمة خصم بقيمة 10 جنيهات إسترلينية للمرة القادمة.

 

وكتب برايس "وبطبيعة الحال انتابني الفضول لمعرفة كيف يتم الأمر"، وتطبيق "دومينوز" يقوم بمعالجة المدفوع من جهة العميل عن طريق ما يسمى "بوابة الدفع" وهي ليست طريقة سيئة في حد ذاتها إذا ما تم تنفيذها بطريقة صحيحة مع طريقة مناسبة للتحقق من جهة السيرفر، لكن التنفيذ كان "سيئاً للغاية".

 

وأضاف برايس أنه استخدم الثغرة في طلب بيتزا دون دفع حقيقي، ثم انخرط بعدها في التهام وليمة الدومينوز"اتصلت بالمتجر وأكدوا تلقيهم لطلبي وإن البيتزا في طريقها إلي في غضون 20 دقيقة وكان ما خطر ببالي للوهلة الأولى: مُذهل! أما ما فكّرت فيه ثانيةً فهو: تبّاً!"

 

وقرر خبير تكنولوجيا المعلومات أن يتخلص من شعوره بالذنب ويدير ظهره لفرصة الحصول على البيتزا مجاناً مدى الحياة ويدفع ثمن البيتزا في نهاية الأمر.

 

وأفاد برايس "وصلت البيتزا وأخبرت سائق التسليم أن هناك خطأً ما بالطلب، فلم أقم بإدخال أي معلومات لبطاقة الدفع، وأردت الدفع نقداً، وغادر السائق سعيداً بال26 جنيهاً التي دفعتها بينما بقيت أنا مرتاح الضمير".

 

ومن جهته, علق رئيس قسم تكنولوجيا المعلومات في "دومنيوز بيتزا" رود بروكس أن الثغرة الأمنية تم إصلاحها منذ ذلك الحين وأضاف "نحن نأخذ الأمن على محمل الجد، وقد اكتشفنا هذا الأمر وسعدنا بحلّه في فترة وجيزة جداً".

 

سيريانيوز