Znaleźli sposób na darmowe zakupy w Żabce. Policja już puka do ich drzwi
W serii napadów na Żabki nikt nie został ranny, nie doszło do uszkodzeń, a sprawcy w zasadzie nie różnili się niczym od zwykłych klientów. Wprawdzie sprawiedliwość raczej i tak ich dosięgnie, ale przez chwilę oszustom mogło się wydawać, że oszukali system. Wystarczyła specjalna komenda.
Do kradzieży dochodziło w miniony weekend. Z relacji Niebezpiecznika czy Zaufanej Trzeciej Strony wynika, że osób, które w nielegalny sposób się wzbogaciły, było całkiem sporo. Cały proceder polegał na sztucznym nabijaniu tzw. żappsów, czyli wirtualnej waluty w aplikacji Żabki. Kiedy robimy zakupy, dostajemy punkty, które później można wymieniać na produkty. Oszuści znaleźli sposób na to, jak powiększyć saldo bez wydawania pieniędzy.
Całość była możliwa poprzez wysłanie żądania do API:
"Obecność wysoce uprzywilejowanego tokenu w kodzie wskazuje, że oryginalni twórcy nieautoryzowanego żądania mieli dostęp do konta użytkownika systemu z uprawnieniami do dodawania dowolnej liczby punktów do kont klientów" – dodaje serwis. Rodzi się pytanie, skąd ten dostęp.
Być może doszło do kradzieży danych za pomocą złośliwego oprogramowania albo udał się phishing na pracowników firmy
Na ciekawą kwestię zwraca Niebezpiecznik. Serwis przypomniał, że w grudniu "niepowołane osoby mogły zapoznać się z hasłami pracowników do różnych kont". Nie wiadomo wprawdzie, czy ma to jakiś związek z opisywaną sprawą, ale pole do snucia domysłów jak widać jest.
Co na to Żabka? W oświadczeniu przesłanym Zaufanej Trzeciej Stronie czytamy:
Z nieoficjalnych informacji wynika, że miało dojść do pierwszych zatrzymań w tej sprawie.
