Domino’s corrige un bug que entregaba pizza gratis a domicilio

Si creías que la rutina de pedir pizza a domicilio no podía mejorar, imagínate no tener que pagar por ella.

Eso es lo que logró el consultor de ciberserguridad británico Paul Price, al descubrir una falla en la aplicación móvil de Domino's Pizza para Android que le permitió realizar una orden sin pagarla al final del proceso. El problema radicaba en que no se hacían las validaciones correspondientes en el lado del servidor, ya que los pagos se procesaban en el lado del cliente de la app.
Domino's ya corrigió la vulnerabilidad, así que ya no es posible explotarla (¡ni recibir pizza gratis a domicilio!). Según explica Price en su blog, todo comenzó cuando notó que en forma "aparentemente aleatoria" se le entregaban cupones de descuento a los clientes habituales, para que los usen en sus compras posteriores.

CitarLa aplicación de Domino's estaba procesando los pagos por sí misma desde el lado del cliente a través de una puerta de enlace (gateway) de pago.

Cuando decidió revisar cómo se asignaban los cupones, encontró la falla: usando un número de tarjeta de crédito inventado, logró interceptar la respuesta y cambiar la línea de código correspondiente al pago a "aceptado" en vez de "rechazado"; de esta manera, encargó su pizza sin haberla pagado. El sistema, al no hacer la validación correspondiente, consideraba el pago como válido.
Price asegura que la culpa no le permitió abusar de esta falla y, cuando recibió al repartidor en su domicilio, insistió en pagarle en efectivo, a pesar de que este creía que el pedido estaba pago.

Fuente: Welivesecurity

Bonito dia chic@s