Oto błąd, który pozwalał za darmo zamawiać jedzenie z cateringu “Kuchnia Vikinga” i z jeszcze jednego

Istotne błędy bezpieczeństwa można znaleźć nawet jeśli nie jest się zawodowym pentesterem. Przekonał się o tym nasz Czytelnik Tomek Stojanov, który przekonał aplikację do zamawiania dietetycznego cateringu by w nieskończoność zwiększała mu saldo. Tomek to jednak uczciwy klient, więc postanowił błąd ujawnić. I dobrze się stało, bo – jak wykazała analiza – z tego samego błędu korzystał ktoś jeszcze. Już nie taki etyczny.
Chcecie darmowy obiad, śniadanie i kolację od Vikinga?
W połowie listopada do naszej redakcji zgłosił się Tomek, który nie jest ani programistą ani specjalistą od bezpieczeństwa, ale jest człowiekiem spostrzegawczym. W czasie korzystania z aplikacji cateringu dietetycznego o nazwie “Kuchnia Vikinga” zauważył coś dziwnego… Aplikacja pozwalała na złożenie zamówienia i anulowanie go. Po anulowaniu użytkownikowi naliczały się punkty lojalnościowe o równowartości kwoty zamówienia. Punkty mogły być wykorzystywane do opłacenia kolejnych zamówień. I teraz ważna rzecz:
Proces anulowania trochę trwał, a użytkownik mógł w trakcie tego “trwania” anulować dostawę po raz kolejny. I kolejny. I kolejny, zanim to pierwsze anulowanie dobiegło końca.
Poniżej film z akcji nagrany przez Tomka:

Błąd jak widzicie poważny. Mógł powodować straty finansowe po stronie dostawcy cateringu.
Tomek błąd chciał zgłosić, ale miał z tym problem…
Odezwał się do firmy MasterLife Solutions, która jest dostawcą aplikacji mobilnej dla Kuchni Vikinga. Ta odesłała go do serwisu Intigriti (służącego do obsługi zgłoszeń typu bug bounty), który dla osoby [...]

#Aplikacje #Żabka #CateringDietetyczny #Intigriti #KuchniaVikinga #MasterLifeSolutions #RaceCondition #TomekStojanov

https://niebezpiecznik.pl/post/oto-blad-ktory-pozwalal-za-darmo-zamawiac-jedzenie-z-cateringu-kuchnia-vikinga-i-z-jeszcze-jednego/

❓ How can bug bounty programs …
1️⃣ Keep hackers engaged in the long term?
2️⃣ Effectively increase the amount of good quality reports that you receive?
3️⃣ Stand out from competition and be the program that hackers choose to hack on?

📽️ In this video, I covered 5 tips that can allow any bug bounty programs to stand out from the rest. If you implement them, you can expect an increased participation from skilled and good hackers (or security researchers) and a consistent stream of valuable vulnerability submissions! Most importantly, are you ready to handle the resulting high quality reports? 😊

🫵 Hackers, if these tips hit the mark, please share them with your favourite bug bounty programs! Your input could lead to improvements like loyalty programs and direct report submissions (skip platform analysts or triage teams). Let's level up the bug bounty landscape together! 😎

⬇️⬇️⬇️

https://youtu.be/msr-7ZtmLdE

#bugbounty #bugbountytips #togetherwehitharder #hackerone #ittakesacrowd #outhackthemall #bugcrowd #bugcrowdtipjar #hackwithintigriti #intigriti #yeswehack #yeswerhackers #ethicalhacking #whitehat

🚨📢 Insomni'hack 2025

We are delighted to welcome Intigriti as our Bronze Sponsor.

🤝 Special thanks to the local team: Owen Harding, Rocio Bracero, Kajal Rajgor, Inti De Ceukelaire, Lennaert Oudshoorn & Sotiria Giannitsari!

👉 Register here: https://insomnihack.ch/register/?utm_source=Mastodon&utm_medium=Social+Media&utm_campaign=Insomnihack+2025_Sponsor_Intigriti

#INSO25 #Insomnihack #cybersecurity #cybersecurityconference #Cyberdefense #CTF #intigriti #hacking #training #ethicalhacking

🚨📢 Insomni'hack 2024

We are delighted to welcome Intigriti as a Bronze sponsor.

🤝 Special thanks to: Sotiria Giannitsari & Inti De Ceukelaire.

👉 Register here: https://ow.ly/33rS50QYrgv

#INSO24 #Insomnihack #cybersecurity #cybersecurityconference #Cyberdefense #CTF #intigriti #hacking #training #ethicalhacking

Intigriti researcher API

https://kb.intigriti.com/en/articles/8529303-intigriti-researcher-api

#api #bugbounty #infosec #intigriti #security

Watch Jan "Kendy" Holesovsky's #COOLdays 2023 talk on #intigriti. Hear about 𝗲𝘁𝗵𝗶𝗰𝗮𝗹 𝗵𝗮𝗰𝗸𝗶𝗻𝗴 & 𝘄𝗵𝗮𝘁 𝘄𝗲 𝗵𝗮𝘃𝗲 𝗹𝗲𝗮𝗿𝗻𝗲𝗱!

#opensource #bugbounty

https://youtu.be/tB4WHhId8No