Questo hacker ha trovato il modo di avere la pizza gratis a vita

Un hacker responsabile non sfrutta a proprio vantaggio i bug di cui viene a conoscenza, anche se questi potrebbero consentirgli di ordinare pizza gratis per tutta la vita.

Paul Price, un esperto di sicurezza della Gran Bretagna, ha trovato un bug nella versione inglese della app di Domino’s Pizza che permetteva di ottenere esattamente quello che abbiamo detto. Price ha scoperto che la API dell’applicazione non elaborava correttamente i pagamenti, quindi eventuali utenti con sufficienti competenze tecniche potevano effettuare pagamenti non validi e di conseguenza ordinare la pizza gratis.

“Cosa?! Sembra che il mio ordine sia andato a buon fine senza un pagamento valido,” racconta Price in un post del suo blog. “Sicuramente questo è un caso limite e Domino’s farà dei controlli prima di iniziare a preparare fisicamente il mio ordine… giusto?”

Sbagliato. Price non era sicuro, così ha chiamato il negozio per un ulteriore controllo e gli è stato confermato che la pizza era in preparazione.

“Il mio primo pensiero è stato: che figata. Il secondo: oh merda.”

“Il mio primo pensiero è stato: che figata. Il secondo: oh merda,” ha continuato l’informatico.

Alla fine il ragazzo delle consegne si è presentato alla sua porta, ma Price ha ammesso che il pagamento non era andato a buon fine e ha tirato fuori i contanti. In seguito, Domino’s ha provveduto a eliminare il bug.

“Siamo molto attenti alla sicurezza e avevamo scoperto questo problema l’anno scorso durante una dei nostri frequenti controlli. Siamo lieti di comunicare che è stato risolto in pochissimo tempo,” ha spiegato a Motherboard Rod Brooks, responsabile IT per Domino’s.

Ma la morale della storia è che là fuori esistono un sacco di applicazioni con API piene di bug.

Le API difettose sono in parte responsabili del gigantesco hack operato ai danni della casa produttrice di giocattoli VTech, in cui sono stati rubati i dati personali di milioni di genitori e dei loro bambini. E solo poche settimane fa, gli esperti di sicurezza Troy Hunt e Scott Helme hanno dimostrato che gli hacker possono controllare le auto elettriche Nissan da remoto, attivando l’aria condizionata e scaricando le batterie delle vetture. La società, comunque, ha dovuto disabilitare temporaneamente l’applicazione per risolvere il bug.