Ser um hacker amigável significa não tirar vantagem das brechas que encontra – mesmo que isso signifique pizza grátis. Foi desse lema que lembrou Paul Price, consultor da área de segurança do Reino Unido, quando achou um bug na versão britânica do aplicativo da Domino’s Pizza.
Ele descobriu que a API do app não estava processando pagamentos corretamente, o que possibilitava que usuários com conhecimento técnico o suficiente fuçassem ali e enganassem o software para aceitar pagamentos inválidos, dando-lhes a tão sonhada chance de pedir pizza de graça.
” O quê? Parece que meu pedido foi feito sem pagamento válido”, escreveu Price em seu blog. “Certamente este é um caso isolado, e a Domino’s terá alguém verificando os pedidos… Certo?”.
Errado. Price ligou para a pizzaria para se certificar e lhe foi informado que sua pizza estava, sim, sendo preparada naquele momento, de acordo com seu post.
“Meu primeiro pensamento: animal. Meu segundo pensamento: puta merda”, escreveu.
Daí que a pizza chegou mesmo, de acordo com Price, mas ele admitiu que o pagamento não havia sido completado e pagou com dinheiro mesmo. Desde então, a Domino’s deu jeito no bug.
“Levamos segurança muito a sério e descobrimos este problema no ano passado durante uma de nossas revisões frequentes. Ficamos felizes em dizer que tudo se resolveu rapidamente”, disse Rod Brooks, chefe de TI da Domino’s, em comunicado ao Motherboard.
Tudo acabou bem para os donos da pizzaria, ok, mas a moral da história é que tem muito aplicativo aí com API zoada.
APIs problemáticas foram em parte responsáveis pela invasão da fabricante de brinquedos VTech, que acabou vazando milhões de dados de pais e filhos. Há algumas semanas, os pesquisadores da área de segurança Troy Hunt e Scott Helme mostraram que hackers poderiam zoar com carros elétricos da Nissan do mundo todo, simplesmente ligando o ar-condicionado e deixando sua bateria terminar. A empresa teve que desabilitar o aplicativo para dar jeito neste bug.
Fonte: Folha SP