Reklama

DlaHandlu.pl – wiadomości handlowe, FMCG, ecommerce, franczyza, sieci handlowe

Luki w API Żabki. Żappsy bez zakupów, czyli za darmo

W ostatni weekend kilka konsumentów poinformowało redakcję serwisu Niebiezpiecznik.pl, że można sobie dowolnie podbić saldo żappsów. Wystarczyło w tym celu wysłać odpowiednie żądanie do API.
Reklama

Jeden z czytelników Niebezpiecznika twierdzi, że do nabicia konta żappsami wystarczyło użyć dowolnego tokenu, na przykład ze swojej aplikacji. Według niego użyta w pokazanym powyżej żądaniu metoda points.upcharge w ogóle nie weryfikowała kto i kiedy może ją wywołać. A to oznacza całkiem poważną dziurę w API. Efekt znalezienia luki w API Żabki i sposobu na jej wykorzystanie był taki, że wiele osób chwaliło się zwiększonym stanem swojego konta punktowego, a nawet zrobionymi za darmo zakupami w mediach społecznościowych.

 

 

Poważna luka w aplikacji mobilnej Żabki

Osoby, które skorzystały z całej sytuacji i zrobiły zakupy w Żabce płacąc za nie dodanymi dzięki luce żappsami prawdopodobnie nie pomyślały o tym, że korzystanie z API zostawia ślady.

Co mówi Żabka?

- Potwierdzamy, że w ostatnich dniach odnotowaliśmy przypadki doładowywania żappsami w nieuprawniony sposób wybranych kont użytkowników Żappki. W reakcji na naruszenia, zgodnie z regulaminem aplikacji oraz obowiązującymi procedurami, dokonaliśmy blokady kont, na których doszło do niedozwolonych aktywności. Zablokowani użytkownicy zostali poinformowani o tym fakcie. Powstały incydent spowodowany był błędem ludzkim i nie wynikał z zastosowanych przez nas platform technologicznych. W związku z zaistniałą sytuacją rozpoczęliśmy już proces zbierania materiału dowodowego, który przekażemy do organów ścigania - czytamy w oświadczeniu sieci.

Reklama

Lista tagów

Zobacz komentarze (0)

Proszę podać imię
Proszę wpisać treść komentarza
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum