Ein kleiner Bug bescherte Hackern lebenslänglich Gratis-Pizza

Ein verantwortungsvoller White-Hat-Hacker würde die Sicherheitslücken, die er im Netz ausfindig macht, natürlich niemals zu seinem Vorteil nutzen—selbst wenn er einen Bug findet, der es ihm ermöglicht, lebenslang umsonst Pizza zu bestellen.

Der Sicherheitsberater Paul Price hat nun verraten, dass er in der britischen Version der App von Domino's Pizza einen Bug fand, der ihm genau das ermöglichte. Da die Programmierschnittstelle (API) die Zahlungen nicht richtig verarbeitete, konnten Nutzer die App austricksen, sodass auch ungültige Zahlungen angenommen wurden. Somit konnte im Grunde jeder technisch etwas versiertere App-Nutzer beliebig viele Pizzen umsonst bestellen.

In seinem Blog berichtete Price ausführlich von seiner Entdeckung der potentiellen Gratis-Pizza: „Moment mal? Es scheint, als wäre meine Bestellung trotz ungültiger Zahlung akzeptiert worden", berichtete er von dem Moment, als er das erste Mal auf die Schwachstelle stieß. „Mit Sicherheit hat Domino's das nur übersehen und wird sich gleich nochmal melden, bevor meine Pizza tatsächlich zubereitet wird… oder?"

Falsch gedacht. Price war sich nach seiner Bestellung allerdings nicht vollkommen sicher, ob er den Zahlungsvorgang tatsächlich erfolgreich umgangen hatte und rief in der Domino's Pizza-Filiale an, um nachzufragen. Dort erklärte man ihm bereitwillig, dass seine Bestellung bereits in Bearbeitung sei und zubereitet würde.

„Mein erster Gedanke war: Großartig. Der Zweite: Verdammt.", schrieb er.

Die Pizza wurde wenig später tatsächlich wie bestellt geliefert. Als ethischer Hacker gab Price seine Gratis-Bestellung zu, und beglich die Rechnung beim Fahrer direkt in bar. Domino's hat den Bug mittlerweile behoben.

„Sicherheit wird bei uns großgeschrieben und während einer unserer internen Kontrollen im vergangenen Jahr ist uns dieser Fehler aufgefallen. Zum Glück konnte der Fehler sehr schnell behoben werden", teilte Rod Brooks, Leiter der IT-Abteilung bei Domino's, in einer Erklärung an Motherboard mit.

Die Moral der Geschichte ist aber, dass es mit Sicherheit auch noch viele andere Apps mit fehlerhaften APIs gibt.

Ein ähnlicher Bug in der API ermöglichte Ende letzten Jahres den gewaltigen Hackangriff auf das Spielzeug-Unternehmen VTech. Damals gelangten Millionen sensibler Kundendaten an die Öffentlichkeit. Erst vor wenigen Wochen haben die beiden Sicherheitsforscher Troy Hunt und Scott Helme offengelegt, dass Hacker per Fernsteuerung von überall aus in die Software der Elektroautos von Nissan eingreifen können und die Fahrzeuge manipulieren können. So konnten sie zum Beispiel die Klimaanlage anschalten, wodurch sich die Autobatterie entlädt. Um das Problem zu beseitigen, blieb Nissan damals zunächst nichts anderes übrig, als die App zu deaktivieren.