DAJ CYNK

Żabka przez pomyłkę umożliwiła darmowe zakupy. Wystarczył prosty trik (aktualizacja)

Marian Szutiak

Aplikacje

Żabka miała lukę w API. Chodzi o żappsy

W API Żabki wykryto lukę, która pozwalała dowolnie zwiększać saldo punktów (żappsów) w aplikacji Żappka. Można je wymieniać na prawdziwe produkty z tego sklepu.

W miniony weekend kilka osób poinformowało redakcję serwisu Niebiezpiecznik.pl, że można sobie dowolnie podbić saldo żappsów, czyli punktów zbieranych w aplikacji Żabki. Wystarczyło w tym celu wysłać odpowiednie żądanie do API, którego treść wygląda tak:

Żabka luka w API treść żądania

Nie wiemy, kto i w jaki sposób znalazł lukę w API Żabki oraz właściwą treść żądania, które pozwalały z niej skorzystać. Jeden z czytelników Niebezpiecznika twierdzi po dogłębnej analizie zdarzenia, że do nabicia konta żappsami wystarczyło użyć dowolnego tokenu, na przykład ze swojej aplikacji. Według niego użyta w pokazanym powyżej żądaniu metoda points.upcharge w ogóle nie weryfikowała kto i kiedy może ją wywołać. A to oznacza całkiem poważną dziurę w API i źle świadczy o osobach odpowiedzialnych za jego implementację i testy.

Efekt znalezienia luki w API Żabki i sposobu na jej wykorzystanie był taki, że wiele osób chwaliło się zwiększonym stanem swojego konta punktowego, a nawet zrobionymi za darmo zakupami w mediach społecznościowych.

Żabka żappsy

Żabka blokuje konta

Osoby, które skorzystały z całej sytuacji i zrobiły zakupy w Żabce płacąc za nie dodanymi dzięki luce żappsami prawdopodobnie nie pomyślały o tym, że korzystanie z API zostawia ślady. Ponadto konto w aplikacji jest powiązane z użytkownikiem, a w sklepach są kamery. Żabka z resztą zaczęła blokować konta wybranym użytkownikom swojej aplikacji, a jednego z internautów, który opisał metodą doładowywania żappsów, odwiedziła policja.

Żabka blokada konta

AKTUALIZACJA

Opisywane naruszenia kont użytkowników aplikacji Żappka zostało potwierdzone przez Żabkę Polska. Firma nadesłała do nas oświadczenie w tej sprawie, zapewniając, że konta zostały zablokowane, a sprawa jest wyjaśniana:

Potwierdzamy, że w ostatnich dniach odnotowaliśmy przypadki doładowywania żappsami w nieuprawniony sposób wybranych kont użytkowników Żappki. W reakcji na te naruszenia dokonaliśmy blokady kont, na których doszło do niedozwolonych aktywności. Jesteśmy na etapie wyjaśniania całej sytuacji we współpracy z naszymi partnerami technologicznymi.

Zobacz: Apple wypuszcza iOS 16.3. To kolejna garść poprawek i nowości
Zobacz: T-Mobile. Wyciekły dane 37 mln klientów. Zapytaliśmy o Polaków

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Jan Orlowski / Shutterstock.com, Niebezpiecznik.pl

Źródło tekstu: Niebezpiecznik.pl

Przewiń w dół do następnego wpisu