Хакер з Італії зламав клієнтську базу даних мережі торгових автоматів, знайшовши спосіб змінювати її.
Експерту з питань безпеки Маттео Пізані вдалося виявити кілька недоліків в мобільному додатку Argenta на Android для мережі торгових автоматів. Про це йдеться на сайті Hackernoon.
Злом додатка відбувався у кілька хитромудрих етапів. Спочатку хакер здійснив декомпіляцію (тобто отримання програмного коду), далі увімкнув режим оцінювання. Після цього перевстановив додаток.
Коли Пізані отримав доступ до бази даних, він створив власний додаток для її редагування. Лише тоді, хакер попрямував до одного з автоматів, де розпочав отримувати "безлімітні" кошти та купувати за них товари. Система не розпізнала цих махінацій і видавала товар за товаром не отримуючи за це плату.
Пізані стверджує, що йому вдалося зламати цей додаток саме через дуже слабку систему захисту.
Крім того, успіх хакера полягав у тому, що він знайшов у базі даних кілька таблиць, одна з яких була вразливою. Вона мала назву - userWallets (гаманці користувачів). Як виявилось, у ній без проблем можна було редагувати поле walletCredit. Завдяки тому, що Пізані змінював його значення, з'явилася можливість отримати кредитний баланс, який не вичерпувався.
Для того аби проводити такі махінації в один клік, Пізані створив свій додаток та успішно його випробував.
Хакер виклав відеозапис процесу злому та отримання товару з автомата, демонструючи, що його система та додаток чудово працюють.
Як повідомляв портал "Знай.uа", цьогоріч, 27 червня Україна піддалась наймасштабнішій кібератаці за всю свою історію.
Усі рахунки та покупки перевірятимуть: українців позбавлять пільг
Дадуть лише 60 днів: треба обов'язково сплатити податок
Пенсіонери зможуть отримувати безкоштовні продукти
Без ресторанів і вечірніх суконь: школи змінюють формат випускних через непомірні ціни
Також "Знай.uа" писав, як хакер зламав сервер Конгресу США та опублікував особисті дані конгресменів.