Kutatók egy olyan – már javított – hibáról számoltak be, melyet kihasználva az SAP és az Oracle POS-termináljai segítségével a szervert manipulálni lehet, hogy egy adott árucikket, mondjuk egy MacBookot akár egy dollárért is meg lehessen vásárolni.
Az SAP partnerének számító ERPScan biztonsági cég munkatársai, Dmitrij Csasztuhin és Vlagyimir Jegorov találtak egy olyan módot, mellyel be lehet jutni a POS mögötti back-end rendszerbe, és ott már átírhatták az árakat, illetve az akciós engedmények mértékét – mindezt augusztus 24-én mutatták be egy konferencián Szingapúrban. A szakemberek rájöttek, hogyan lehet egyszerűen megváltoztatni az SAP Xpress szerver konfigurációs beállításait úgy, hogy teljes körű felhatalmazást szerezzenek a szerver felett – ez ugye nemcsak azt jelenti, hogy szabadon tudták átírni az árakat, hanem azt is, hogy a terminálokat használók kártyaadatait is képesek voltak megszerezni, illetve ki- és bekapcsolhatták a terminálokat.
Csasztuhin elmondta, hogy ez a hiba nem kizárólag az SAP gondja volt, mivel nagyon sok POS-rendszer épül hasonló architektúrára, és azokban is fellelhetőek ilyen típusú sebezhetőségek. Ennek az az oka, hogy a gyártók szinte egyáltalán nem fordítanak gondot a POS munkaállomások és a szerverek kapcsolatának biztonságosságára, az autorizációs és titkosítási megoldások általában hiányoznak, így ha egy támadó bejut, rendszergazdai jogosultságot tud szerezni a teljes rendszer felett.
A szakemberek készítettek egy proof-of-concept videót is, melyet az előadással párhuzamosan publikáltak:
Az SAP a kutatók figyelmeztetése után augusztus közepén javította a hibát.