Jeden z czytelników Niebezpiecznika twierdzi, że do nabicia konta żappsami wystarczyło użyć dowolnego tokenu, na przykład ze swojej aplikacji. Według niego użyta w pokazanym powyżej żądaniu metoda points.upcharge w ogóle nie weryfikowała kto i kiedy może ją wywołać. A to oznacza całkiem poważną dziurę w API. Efekt znalezienia luki w API Żabki i sposobu na jej wykorzystanie był taki, że wiele osób chwaliło się zwiększonym stanem swojego konta punktowego, a nawet zrobionymi za darmo zakupami w mediach społecznościowych.

Czytaj więcej

Innowacje na półkach Żabki. Będą batony z owadów i wegańskie lody

Poważna luka w aplikacji mobilnej Żabki

Osoby, które skorzystały z całej sytuacji i zrobiły zakupy w Żabce płacąc za nie dodanymi dzięki luce żappsami prawdopodobnie nie pomyślały o tym, że korzystanie z API zostawia ślady.

Co mówi Żabka?

- Potwierdzamy, że w ostatnich dniach odnotowaliśmy przypadki doładowywania żappsami w nieuprawniony sposób wybranych kont użytkowników Żappki. W reakcji na naruszenia, zgodnie z regulaminem aplikacji oraz obowiązującymi procedurami, dokonaliśmy blokady kont, na których doszło do niedozwolonych aktywności. Zablokowani użytkownicy zostali poinformowani o tym fakcie. Powstały incydent spowodowany był błędem ludzkim i nie wynikał z zastosowanych przez nas platform technologicznych. W związku z zaistniałą sytuacją rozpoczęliśmy już proces zbierania materiału dowodowego, który przekażemy do organów ścigania - czytamy w oświadczeniu sieci.