Dziura w API Żabki pozwoliła na darmowe zakupy

oszustwa internetoweLeave a Comment on Dziura w API Żabki pozwoliła na darmowe zakupy

W jeden z ostatnich weekendów okazało się, że… API Żabki jest dziurawe. A co za tym idzie – można było sobie dowolnie podbić saldo punktów w aplikacji. Sposób na nieautoryzowane doładowanie żappsów – bo tak nazywają się ów punkty – które można wymieniać na produkty w sklepach, był bardzo prosty. Wystarczyło wysłać żądanie do API.

Czytaj też; Uwaga klienci Santandera

Jeśli z kolei chodzi o takie żądanie – można było spokojnie znaleźć je w sieci.

token = "eyJhb(...)"r = requests.post("https://zabka-snrs.zabka.pl/v4/events/custom", json={"action": "points.upcharge","label": "label","client": {"email": "e-mail_wlasciciela_konta},"params": {"displaySubheader": "x,"description": "x","displayHeader": "x","points": "666"}}, headers={"authorization": token,"api-version": "4.4","Content-Type": "application/json"})

UWAGA: Dziura w API Żabki pozwoliła na darmowe zakupy

Tymczasem, metoda o jakiej mowa zdradza, że jest to API Synerise. Zazwyczaj, by takie żądanie przeszło, konieczna jest znajomość tokena z uprawnieniami. 

Nie jest jednak jasne, kto jako pierwszy wykorzystał ów żądanie do nabijania żappsów. Wiadomo jednak, że API Żabki było dziurawe, a co za tym idzie – ktoś ustalił treść odpowiedniego żądania, a w nim – wartość tokena pozwalającego na nielimitowane zwiększenie salda punktów. Może udało się jej uzyskać dostęp na przykład do środowiska testowego albo konta, które miało wysokie uprawnienia. A może nie do końca tak było.

Czytaj też: Uwaga na oszustwa: senior zostawił pieniądze w reklamówce

Co ciekawe, jak twierdzi część klientów – do nabicia punktów wystarczyło użycie dowolnego tokenu, nawet ze swojej aplikacji, ponieważ po prostu metoda points.upcharge miała w ogóle nie weryfikować kto i kiedy może ją wywołać. Z kolei brak ograniczeń w wywołaniach takich metod byłby bardzo poważnym przeoczeniem osób odpowiedzialnych za implementację API Żabki.

Tymczasem, ponieważ aktualne API Żabki nie pozwala na zabawy tą metodą – testów nie można wykonać. Co za tym idzie?

Pytanie, czy faktycznie tutaj leżał problem. Tego nie wiadomo. Wiadomo jednak jedno – w weekend stycznia, niestety, nieautoryzowane użycie API do punktowania żappsów, niezależnie od powodu, było realne.

W jeden z ostatnich weekendów okazało się, że… API Żabki jest dziurawe. A co za tym idzie - można było sobie dowolnie podbić saldo punktów w aplikacji. Sposób na nieautoryzowane doładowanie żappsów - bo tak nazywają się ów punkty - które można wymieniać na produkty w sklepach, był bardzo prosty. Wystarczyło wysłać żądanie do API.

Co ciekawe, najpewniej, Żabka przygotowuje się do kontrataku na oszustach – już blokuje niektórym konta z tego powodu właśnie.

Czytaj też: HookBot podszywa się pod dziesiątki aplikacji – KNF ostrzega

by:
API ŻabkiAPI Żabki błądAPI Żabki dziuraweAPI Żabki problemAPI Żabki problem onlinebłąd API Żabkidarmowe zakupy API Żabkidziurawe API Żabkidziurawe online API Żabkiniekompletne API Żabkiproblem z API Żabki

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *