Darmowe zakupy w Żabce
W ubiegły weekend absolutnie każdy użytkownik aplikacji Żappka mógł zmienić sobie stan salda punktowego żappsów, robiąc dzięki temu darmowe zakupy. Wystarczyło wysłać żądanie do API za pomocą metody points.upcharge znanej z API Synerise. Co ciekawe, metoda nie weryfikowała w ogóle tego, kto ją wywołuje, co w praktyce zdejmowało jakiekolwiek ograniczenia. Źródło wycieku informacji do sieci nie jest jasne.
Ewidentnie zawiniły osoby odpowiedzialne za implementację i testy API.
Cała masa internautów cieszyła się z powodu tego, że udało im się okraść Żabkę. Tak, wykorzystanie takiej podatności jest najzwyklejszą w świeciu kradzieżą. Czy gdy ktoś zostawi sklep otwarty w nocy, wynosicie z niego obecne w nim rzeczy za darmo tylko dlatego, że ktoś należycie go nie zabezpieczył? No właśnie.
Pewne grono osób wykorzystywało podatność do granic możliwości. To rzekome zakupy zrobione za darmo za żappsy. | Źródło: Zaufana Trzecia Strona
Oszustów mogą czekać poważne konsekwencje
Przedstawiciele Żabki odpisali na zapytania dotyczące sprawy, skierowane do biura prasowego przez redaktorów serwisu Zaufana Trzecia Strona:
potwierdzamy, że w ostatnich dniach odnotowaliśmy przypadki doładowywania żappsami w nieuprawniony sposób wybranych kont użytkowników Żappki. W reakcji na te naruszenia dokonaliśmy blokady kont, na których doszło do niedozwolonych aktywności. Jesteśmy na etapie wyjaśniania całej sytuacji we współpracy z naszymi partnerami technologicznymi.
Pozdrawiamy
Biuro Prasowe Żabka Polska”
Na OLX i Allegro Lokalnie szybko pojawiły się oferty sprzedaży żappsów pozyskanych w wyniku oszustwa. | Źródło: Zaufana Trzecia Strona
Najzabawniejszym jest to, że Żabka nie będzie miała najmniejszych problemów z ustaleniem tego, kto wykorzystał lukę. Token po zdekodowaniu zawiera identyfikatory związane z użytkownikiem apki, który wygenerował żądanie. Niektórym wyłudzaczom Żabka zablokowała już konta, a to dopiero początek. Jeden z czytelników serwisu Niebezpiecznik.pl poinformował, że do domu jednego z internautów chwalących się swoim cwaniactwem wkroczyła już policja. Informacji tej jeszcze oficjalnie nie potwierdzono.
„Kraść na własne dane osobowe w zarejestrowanej aplikacji, wejść do sklepu z kamerami, a na koniec wrzucić zdjęcia zakupów do sieci. Co mogło pójść nie tak” – trafnie skomentował proceder @apo, jeden z użytkowników serwisu Wykop.pl.
Wykorzystałeś błąd w aplikacji Żabka? Lepiej zwróć odebrany za darmo towar. Wyrażenie czynnego żalu może pomóc uniknąć poważnych konsekwencji prawnych.
Źródło: ZaufanaTrzeciaStrona, Niebezpiecznik, zdj. tyt. Żabka