Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zhackował rządowy system aukcji i nakupował samochodów oraz biżuterii za $1. Amerykański sąd orzekł: winny.
W USA organizuje się aukcje, na który sprzedawane są np. samochody czy biżuteria przejęte przez stosowne służby. Bohater tego newsa – Evan Coker postanowił wziąć udział w kilku aukcjach i wylicytował „normalne” ceny – np. Ford pickup F550 za $9000 czy Chevrolet C4500 za $22700.
W czym więc problem?
Po przejściu do rządowego systemu płatności on-line, Evan wykorzystał podatność, która pozwoliła mu zmienić cenę wylicytowanego przedmiotu na $1 (być może wystarczyło podmienić stosowną wartość w żądaniu HTTP). Po powrocie do systemu aukcyjnego system płatności zaraportował, że płatność się udała, więc można dostarczyć wylicytowany towar.
„Płatnościowy Hacker” wygrał w ten sposób 19 aukcji, za każdą zapłacił $1. Część przedmiotów przestępca próbował później sprzedać. Całkowita zdefraudowana kwota to okolice $150000.
Amerykański sąd orzekł niedawno: winny.
~ms
To trochę przypomina przypadek z polskiego podwórka:
https://public.sequndant.com/2021/12/03/ataki-na-sumy-kontrolne-czyli-dowolne-zakupy-za-0-01-pln/
Ciekawe czy rżnął głupa że nie wie czemu system zażądał 1$. Jeśli nikt nie wiedział o dziurze może by się wybronił. Z drugiej strony błąd w systemie nie zwalnia go z konieczności zapłacenia całej kwoty którą wylicytował.
Omijaj podatki placac 1$, firma z dochodami na poziomie miliardy miesiecznie – bohater, inwestor, czlowiek zaufany
Kup cos za 1$ bo ledwo zyjesz na minimalnej placy- olaboga zlodziej jeden, kara smierci xD
Artykuł zwraca uwagę, ale dla mnie nieprzydatny. Jeśli IT ma się rozwijać, to w symbiozie, a nawet synergii z prawem. Ile warte działanie „hakera”, jak nie wie, co mu grozi za co…co może, czego nie może, za co nie będzie odpowiadał. Oczekuję od artykułu chociaż przytoczenia podstawy prawnej oskarzenia/skazania, bo to jest „być, albo nie być” dla programisty, który działa na własną rękę.
Powinien dostać $150000 za znalezienie buga w rządowym systemie płatności, a następnie uregulować tę kwotę za kupione wcześniej po zaniżonej cenie przedmioty.
Sytuacja win-win, a rząd większą uwagę by przykładał do bezpieczeństwa transakcji.
Swoją drogą, służby za te przedmioty nic nie zapłaciły, więc kwota straty myślę, że jest mocno „umowna”.