oszustwa internetoweLeave a Comment on Dziura w API Żabki pozwoliła na darmowe zakupy

W jeden z ostatnich weekendów okazało się, że… API Żabki jest dziurawe. A co za tym idzie – można było sobie dowolnie podbić saldo punktów w aplikacji. Sposób na nieautoryzowane doładowanie żappsów – bo tak nazywają się ów punkty – które można wymieniać na produkty w sklepach, był bardzo prosty. Wystarczyło wysłać żądanie do API.

Czytaj też; Uwaga klienci Santandera

Jeśli z kolei chodzi o takie żądanie – można było spokojnie znaleźć je w sieci.

token = „eyJhb(…)”r = requests.post(„https://zabka-snrs.zabka.pl/v4/events/custom”, json={„action”: „points.upcharge”,”label”: „label”,”client”: {„email”: „e-mail_wlasciciela_konta},”params”: {„displaySubheader”: „x,”description”: „x”,”displayHeader”: „x”,”points”: „666”}}, headers={„authorization”: token,”api-version”: „4.4”,”Content-Type”: „application/json”})

UWAGA: Dziura w API Żabki pozwoliła na darmowe zakupy

Tymczasem, metoda o jakiej mowa zdradza, że jest to API Synerise. Zazwyczaj, by takie żądanie przeszło, konieczna jest znajomość tokena z uprawnieniami. 

Nie jest jednak jasne, kto jako pierwszy wykorzystał ów żądanie do nabijania żappsów. Wiadomo jednak, że API Żabki było dziurawe, a co za tym idzie – ktoś ustalił treść odpowiedniego żądania, a w nim – wartość tokena pozwalającego na nielimitowane zwiększenie salda punktów. Może udało się jej uzyskać dostęp na przykład do środowiska testowego albo konta, które miało wysokie uprawnienia. A może nie do końca tak było.

Czytaj też: Uwaga na oszustwa: senior zostawił pieniądze w reklamówce

Co ciekawe, jak twierdzi część klientów – do nabicia punktów wystarczyło użycie dowolnego tokenu, nawet ze swojej aplikacji, ponieważ po prostu metoda points.upcharge miała w ogóle nie weryfikować kto i kiedy może ją wywołać. Z kolei brak ograniczeń w wywołaniach takich metod byłby bardzo poważnym przeoczeniem osób odpowiedzialnych za implementację API Żabki.

Tymczasem, ponieważ aktualne API Żabki nie pozwala na zabawy tą metodą – testów nie można wykonać. Co za tym idzie?

Pytanie, czy faktycznie tutaj leżał problem. Tego nie wiadomo. Wiadomo jednak jedno – w weekend stycznia, niestety, nieautoryzowane użycie API do punktowania żappsów, niezależnie od powodu, było realne.

W jeden z ostatnich weekendów okazało się, że… API Żabki jest dziurawe. A co za tym idzie - można było sobie dowolnie podbić saldo punktów w aplikacji. Sposób na nieautoryzowane doładowanie żappsów - bo tak nazywają się ów punkty - które można wymieniać na produkty w sklepach, był bardzo prosty. Wystarczyło wysłać żądanie do API.

Co ciekawe, najpewniej, Żabka przygotowuje się do kontrataku na oszustach – już blokuje niektórym konta z tego powodu właśnie.

Czytaj też: HookBot podszywa się pod dziesiątki aplikacji – KNF ostrzega

by:
API ŻabkiAPI Żabki błądAPI Żabki dziuraweAPI Żabki problemAPI Żabki problem onlinebłąd API Żabkidarmowe zakupy API Żabkidziurawe API Żabkidziurawe online API Żabkiniekompletne API Żabkiproblem z API Żabki

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *