Как женщина из США получила бесплатный бензин на $27,000 за счет хитрого трюка!
Полиция штата Небраска столкнулась с трудностями при расследовании случая кражи топлива в сети заправок «Pump and Pantry», организованной неизвестной женщиной. Она обнаружила и воспользовалась уязвимостью в программном обеспечении автоматических заправочных станций, что позволило ей получать бензин бесплатно. Личность злоумышленницы была установлена, ей предъявлены обвинения, но доказать её причастность будет нелегко из-за уничтожения ключевых доказательств.
Как выяснилось из сообщений местных СМИ, в ноябре 2022 года по запросам клиентов и операторов заправок был выпущен патч для программного обеспечения, предназначенный для упрощения работы с накопленными бонусами. Однако в коде оказалась ошибка, о которой каким-то образом узнала мошенница. Дважды просканировав бонусную карту, можно было активировать «демо-режим», что позволяло получать топливо бесплатно.
Следствие выяснило, что злоумышленница использовала эту уязвимость с ноября 2022 года по июнь 2023 года не менее 510 раз. Она прекратила свои действия в день, когда была выпущена обновленная версия ПО, устраняющая ошибку. За это время она получила топлива на сумму около $27,000. Кроме того, она несколько раз передавала бонусную карту другим людям, чтобы и те могли воспользоваться уязвимостью.
В июне 2023 года владелица карты рассталась с ней, предположительно, продав её для погашения кредита за автомобиль. Однако человек, который купил карту и узнал об уязвимости, скончался до того, как полиция смогла его допросить. Таким образом, проверить последние транзакции по карте будет сложно.
Наша точка зрения на инцидент
Этот случай показывает важность тщательного тестирования обновлений программного обеспечения в таких критических системах, как автоматические заправочные станции. Любая уязвимость может привести к значительным финансовым потерям для бизнеса и создать проблемы для правоохранительных органов. Важно также, чтобы компании имели четкие процедуры для быстрого обнаружения и устранения подобных уязвимостей.
Вопросы безопасности ПО становятся всё более актуальными, особенно в контексте повышения уровня цифровизации в различных отраслях. Если вы работаете в сфере ИТ, стоит уделить особое внимание качеству и безопасности вашего кода, особенно если он используется в финансовых транзакциях.
Чтобы избежать подобных ситуаций в будущем, рекомендуется внедрять многоуровневые системы проверок, использовать два этапа аутентификации и регулярно проводить аудиты безопасности. Таким образом, риски можно значительно уменьшить, и клиенты будут более уверены в безопасности и надежности предоставляемых услуг.
