Deze hacker kon door een bug de rest van zijn leven gratis Domino's Pizza eten

Maar omdat hij een ethische hacker is, bekende hij meteen.
05 april 2016, 4:21pm
(Beeld: The Pizza Review/Flickr)

Als je een vriendelijke hacker met verantwoordelijkheidsgevoel bent, betekent dat dat je niet altijd gebruik kan maken van de bugs die je vindt. Zelfs als dat betekent dat je je hele leven gratis pizza had kunnen eten.

Paul Price, een beveiligingsonderzoeker uit Engeland, vond een bug in de Britse app van Domino's Pizza waarmee hij precies dat kon bereiken. Price kwam erachter dat de API van de app betalingen niet correct verwerkte, waardoor gebruikers met genoeg technische kennis ervoor konden zorgen dat de app ongeldige betalingen als geldig zag.

"Ehm, wat? Het lijkt erop dat mijn bestelling geplaatst is zonder geldige betaling," schreef Price in een blog waarin hij vertelt hoe hij pizza bestelde zonder ervoor te betalen. "Dit moet een klein foutje zijn wat Domino's nog gaat checken voordat ze mijn bestelling gaan klaarmaken...toch?"

Nee. Price wist niet zeker of het écht gewerkt had, dus hij belde de winkel om te checken. Zijn pizza werd op dat moment in de oven gedaan, volgens zijn blogpost.

"Mijn eerste reactie: vet. Mijn tweede: shit."

"Mijn eerste reactie: vet. Mijn tweede: shit," schreef hij.

De pizza werd ook daadwerkelijk bij hem afgeleverd, maar toen bekende hij dat de betaling niet was doorgekomen en betaalde hij in cash. Domino's heeft de bug sindsdien opgelost.

"Wij nemen beveiliging extreem serieus en ontdekten deze fout vorig jaar in een van onze regelmatige reviews. We hebben het toen snel opgelost," vertelt Rod Brooks, Domino's hoofd van IT, aan Motherboard.

Het moraal van het verhaal is dat er nog heel veel apps zijn met kapotte of slechte APIs.

Bugs in APIs zijn onder andere verantwoordelijk voor de enorme hack van speelgoedbedrijf VTech, waarbij de data van miljoenen ouders en kinderen op straat lag. Een paar weken geleden toonden onderzoekers Troy Hunt en Scott Helme aan dat hackers konden kloten met Nissan-auto's over de hele wereld. Ze konden de airco op afstand aanzetten en de batterij op laten gaan. Het bedrijf moest de app uitschakelen om de bug te fixen.