REKLAMA
  1. SPIDER'S WEB
  2. Technologie
  3. Bezpieczeństwo

Znaleźli sposób na darmowe zakupy w Żabce. Policja już puka do ich drzwi

W serii napadów na Żabki nikt nie został ranny, nie doszło do uszkodzeń, a sprawcy w zasadzie nie różnili się niczym od zwykłych klientów. Wprawdzie sprawiedliwość raczej i tak ich dosięgnie, ale przez chwilę oszustom mogło się wydawać, że oszukali system. Wystarczyła specjalna komenda.

żabka oszustwo
REKLAMA

Do kradzieży dochodziło w miniony weekend. Z relacji Niebezpiecznika czy Zaufanej Trzeciej Strony wynika, że osób, które w nielegalny sposób się wzbogaciły, było całkiem sporo. Cały proceder polegał na sztucznym nabijaniu tzw. żappsów, czyli wirtualnej waluty w aplikacji Żabki. Kiedy robimy zakupy, dostajemy punkty, które później można wymieniać na produkty. Oszuści znaleźli sposób na to, jak powiększyć saldo bez wydawania pieniędzy.

REKLAMA

Całość była możliwa poprzez wysłanie żądania do API:

z poleceniem „dodaj punkty” (points.upcharge), wskazaniem adresu e-mail konta, która ma zostać „obdarowane” i liczby punktów, które należy dodać. Poleceniu towarzyszy dość długi ciąg znaków zwany tokenem – tłumaczy ZTS.

"Obecność wysoce uprzywilejowanego tokenu w kodzie wskazuje, że oryginalni twórcy nieautoryzowanego żądania mieli dostęp do konta użytkownika systemu z uprawnieniami do dodawania dowolnej liczby punktów do kont klientów" – dodaje serwis. Rodzi się pytanie, skąd ten dostęp.

Być może doszło do kradzieży danych za pomocą złośliwego oprogramowania albo udał się phishing na pracowników firmy

Na ciekawą kwestię zwraca Niebezpiecznik. Serwis przypomniał, że w grudniu "niepowołane osoby mogły zapoznać się z hasłami pracowników do różnych kont". Nie wiadomo wprawdzie, czy ma to jakiś związek z opisywaną sprawą, ale pole do snucia domysłów jak widać jest.

Co na to Żabka? W oświadczeniu przesłanym Zaufanej Trzeciej Stronie czytamy:

REKLAMA

potwierdzamy, że w ostatnich dniach odnotowaliśmy przypadki doładowywania żappsami w nieuprawniony sposób wybranych kont użytkowników Żappki. W reakcji na te naruszenia dokonaliśmy blokady kont, na których doszło do niedozwolonych aktywności. Jesteśmy na etapie wyjaśniania całej sytuacji we współpracy z naszymi partnerami technologicznymi.

Z nieoficjalnych informacji wynika, że miało dojść do pierwszych zatrzymań w tej sprawie.

REKLAMA
REKLAMA
Najnowsze
REKLAMA
REKLAMA
REKLAMA
REKLAMA