Instalki.pl » Aktualności » Software » Darmowe zakupy w Żabce. Użytkowników aplikacji Żappka poniosła fantazja
Wtorek, 24 Styczeń 2023 12:41, Wpisany przez Maksym Słomski
zabka darmowe zappsy
Policja powinna wkroczyć do akcji.

Do przedziwnej sytuacji doszło w miniony weekend w sklepach Żabka. W sieci pojawiły się liczne zrzuty ekranu z aplikacji Żappka, pokazujące absurdalnie wysokie salda żappsów, czyli punktów otrzymywanych w ramach programu lojalnościowego znanej franczyzy. Przypominam: żappsy da się wymieniać m.in. na przeróżne produkty w Żabce. Niektórzy chwalili się, że odebrali za darmo całą masę towarów. Jak się okazało zawiniła luka w API apki.

Darmowe zakupy w Żabce


W ubiegły weekend absolutnie każdy użytkownik aplikacji Żappka mógł zmienić sobie stan salda punktowego żappsów, robiąc dzięki temu darmowe zakupy. Wystarczyło wysłać żądanie do API za pomocą metody points.upcharge znanej z API Synerise. Co ciekawe, metoda nie weryfikowała w ogóle tego, kto ją wywołuje, co w praktyce zdejmowało jakiekolwiek ograniczenia. Źródło wycieku informacji do sieci nie jest jasne.

darmowe zappsy
Niektórzy internauci dodawali sobie do konta żappsy na hot doga. Inni szli na całość. | Źródło: Niebezpiecznik.pl

Ewidentnie zawiniły osoby odpowiedzialne za implementację i testy API.

Cała masa internautów cieszyła się z powodu tego, że udało im się okraść Żabkę. Tak, wykorzystanie takiej podatności jest najzwyklejszą w świeciu kradzieżą. Czy gdy ktoś zostawi sklep otwarty w nocy, wynosicie z niego obecne w nim rzeczy za darmo tylko dlatego, że ktoś należycie go nie zabezpieczył? No właśnie.

zabka darmowe zakupy
Pewne grono osób wykorzystywało podatność do granic możliwości. To rzekome zakupy zrobione za darmo za żappsy. | Źródło: Zaufana Trzecia Strona

Oszustów mogą czekać poważne konsekwencje


Przedstawiciele Żabki odpisali na zapytania dotyczące sprawy, skierowane do biura prasowego przez redaktorów serwisu Zaufana Trzecia Strona: 
 
"Szanowny Panie Redaktorze,

potwierdzamy, że w ostatnich dniach odnotowaliśmy przypadki doładowywania żappsami w nieuprawniony sposób wybranych kont użytkowników Żappki. W reakcji na te naruszenia dokonaliśmy blokady kont, na których doszło do niedozwolonych aktywności. Jesteśmy na etapie wyjaśniania całej sytuacji we współpracy z naszymi partnerami technologicznymi.

Pozdrawiamy
Biuro Prasowe Żabka Polska"

zappsy kupno
Na OLX i Allegro Lokalnie szybko pojawiły się oferty sprzedaży żappsów pozyskanych w wyniku oszustwa. | Źródło: Zaufana Trzecia Strona

Najzabawniejszym jest to, że Żabka nie będzie miała najmniejszych problemów z ustaleniem tego, kto wykorzystał lukę. Token po zdekodowaniu zawiera identyfikatory związane z użytkownikiem apki, który wygenerował żądanie. Niektórym wyłudzaczom Żabka zablokowała już konta, a to dopiero początek. Jeden z czytelników serwisu Niebezpiecznik.pl poinformował, że do domu jednego z internautów chwalących się swoim cwaniactwem wkroczyła już policja. Informacji tej jeszcze oficjalnie nie potwierdzono.

"Kraść na własne dane osobowe w zarejestrowanej aplikacji, wejść do sklepu z kamerami, a na koniec wrzucić zdjęcia zakupów do sieci. Co mogło pójść nie tak" - trafnie skomentował proceder @apo, jeden z użytkowników serwisu Wykop.pl.

Wykorzystałeś błąd w aplikacji Żabka? Lepiej zwróć odebrany za darmo towar. Wyrażenie czynnego żalu może pomóc uniknąć poważnych konsekwencji prawnych.

Źródło: ZaufanaTrzeciaStrona, Niebezpiecznik, zdj. tyt. Żabka