• Ostatnia modyfikacja artykułu:1 rok temu

Żabka napotkała bardzo poważny problem. Nieuczciwi użytkownicy odkryli sposób na pozyskanie dowolnej liczby Żappsów.

Jak zapewne doskonale wiecie, sklepy Żabka mają swoją własną aplikację nazwaną dość wdzięcznie Żappką. Użytkownicy mogą znaleźć z niej kupony obniżające ceny niektórych produktów oraz wziąć udział w programie lojalnościowym. Jego zasady są całkiem proste – za każdą wydaną złotówkę otrzymujemy 4 żappsy, które możemy wymieniać potem na darmowe produkty. Dla przykładu, hot-dog to koszt około 1000 żappsów.

Wszędzie tam, gdzie pojawiają się prawdziwe pieniądze pojawiają się jednak oszuści. Dzięki możliwości wymiany, żappsy są przecież dość wartościowe – kupimy za nie produkty, które i tak musielibyśmy kupić. Grupa nieuczciwych użytkowników wpadła więc na pomysł jak pozyskać ich nieograniczoną liczbę. W dodatku – nawet im to wyszło.

Za pomocą wywołania API aplikacji możliwe było wysłanie żądania na serwer Żabki, które przyznawało wybraną liczbę punktów danemu użytkownikowi. Problem jednak w tym, że oszuści wykorzystali token autoryzacyjny użytkownika z bardzo wysokimi uprawnieniami. W innym przypadku niemożliwe byłoby przyznanie punktów. Skąd go pozyskali? Cóż, tego nie wiadomo, ale z pewnością musiała to być niezbyt legalna operacja.

Żabka przyznaje, że doszło do naruszenia i po jednym dniu zablokowali konta oraz możliwość korzystania z danego tokenu. Internauci pochwalili się jednak, że udało im się zrobić dość duże zakupy w sklepie, a część z nich sprzedawała nawet żappsy w internecie. Pomimo tego, że mowa o wirtualnych punktach to przestępstwo jest jednak prawdziwe i mogą grozić im poważne konsekwencje.

Zobacz też:
Ransomware to przeszłość, hakerzy mają nowe narzędzia
Żabka rozdaje gry komputerowe… tyle, że z 1999 roku
Żabka idzie z duchem czasu. Hot-doga zrobi nam już robot

Oceń ten post