Ovo je priča o tome kako sam pronašao način da generiram neograničen novac za Starbucks poklon kartice, čime sam sebi osigurao besplatnu kafu za cijeli život, ili ukrao par miliona od njih na druge načine.

Dakle, ne tako davno došao sam na ideju da kupim 3 Starbucks kartice po 5 dolara.

Starbucks.com ima lični račun na koji možete dodati ove kartice, vidjeti svoj bilans, pa čak i prebaciti novac s jedne kartice na drugu.

Postoji tako malo poznata klasa ranjivosti „stanja rase“. Sa sigurnošću mogu reći da je većina aplikacija koje mogu biti ranjive najvjerovatnije ranjiva na ovaj napad, jer ne uzima svaki programer u obzir faktore kao što je paralelno izvršavanje koda i njegove posljedice prilikom dizajniranja programa.

Javlja se iu web aplikacijama, obično u funkcijama vezanim za prijenos novca/bodova/umota slatkiša/vaučera. O svim zamršenostima rada reći ću vam drugi put, ali za sada se vratimo na transfer između kartica u Starbucksu.

Prijevod je napravljen od nekoliko zahtjeva sa stanjem. Šematski, prvi zahtjev POST /step1?amount=1&from=wallet1&to=wallet2 stavlja sve ove vrijednosti u sesiju na serveru, a tek drugi POST/step2?confirm prenosi podatke koji su već pohranjeni u sesiji i briše ih.

Ovo značajno otežava rad relativno klasične trke, gdje je potrebno samo nekoliko puta ponoviti isti zahtjev u isto vrijeme. Uostalom, čim prvi zahtjev očisti sesiju, drugi već nailazi na praznu sesiju! A da bi ovo nekako funkcionisalo, morao bih da napravim složenu kompoziciju zahteva koja piše u sesiju odmah nakon što je obrisana prvim zahtevom i pre izvršenja drugog zahteva. Ovo može uspjeti jednom u milion puta, a možda i neće raditi.

Ali uvijek postoji rješenje za takve “poluzaštite” - možete se prijaviti na isti nalog iz dva različita pretraživača/sesije. Tada operacija izgleda otprilike ovako:

#postavite parametre prijevoda u obje sesije
curl starbucks/step1 -H "Cookie: session=session1" --data "amount=1&from=wallet1&to=wallet2"
curl starbucks/step1 -H "Kolačić: session=session2" --data "iznos=1&from=wallet1&to=wallet2"
#istovremeno odobrenje transfera od 1$ sa kartice 1 na karticu 2.
curl starbucks/step2?confirm -H "Cookie: session=session1" & curl starbucks/step2?confirm -H "Cookie: session=session2" &

Nakon 5 pokušaja ništa zanimljivo se nije dogodilo i ja sam se spremao odustati. Posebnost uslova trke je da ga možete pokušati pronaći samo od strane napadača treće strane, jer se ne zna koje su zaštite na snazi ​​(broj zahtjeva po IP-u? zahtjeva po računu? zahtjeva za akciju?) i koji su zahtjevi za akciju? Jedini način da provjerite da li ste ranjivi je da pažljivo provjerite izvorni kod radi prisutnosti odgovarajućih pesimističkih brava u bazi podataka.

Na 6. zahtev dogodilo se čudo - transfer je obavljen dva puta i imao sam dve kartice sa 15 i 5 dolara, ukupno 20. Da bismo ovo smatrali dokazom koncepta, ostaje samo da se uverimo da će prodavnica prihvatiti ove kartice.

Otišao sam do najbližeg Starbucksa koji radi na Market st.

Daj mi nešto u vrijednosti od 16 dolara.
- O_o.
- Pa, šta ti je najdragocenije?
- Oni sendviči tamo.

Izašao je na 16,70 dolara.

Dakle, 15 dolara je uloženo u našu malu operaciju Y, a kupovine su obavljene u 16.70. Znajući kakav je odnos najhumanijeg američkog suda prema hakerima, kada sam se vratio kući, odmah sam sa kreditne kartice uplatio još 10 dolara na svoju Starbucks karticu, kako ne bih ostao dužan korporaciji čak 1,70 dolara, nikad se ne zna.

Slijedi najteži dio – proces izvještavanja. Podrška je iskreno odgovorila da ne mogu da me povežu sa tehničkim timom, pa nikako, i jako im je žao što sam se tako osećao. Objavio [email protected] 23. mart, tišina (inače, odgovorili su već 29. aprila). Morao sam da pronađem ljude kojima je stalo preko mojih prijatelja i poznanika, i tek nakon 10 dana ranjivost je otklonjena.

Niko se nije zahvalio, ali je dat nedvosmislen nagovještaj da sam počinio “prevaru” i “zlonamjerne radnje” i da će još razmišljati šta će sa mnom.

Šta sam mogao da uradim? Mogao bih pokrenuti farmu lažnih poklon kartica kupljenih u različitim trgovinama širom svijeta, zaraditi puno novca na njima i prodati ih na posebnim promotivnim stranicama uz 50 posto popusta (da ne izazivam sumnju) za bitcoine. Dakle, nakon godinu-dvije rada, iz ove prijateljske kompanije možete uz slatku kafu isisati par miliona dolara.

Kako sam hakovao Starbucks za neograničenu kafu

• Sigurnost informacija,
• Izrada web stranica

Ovo je priča o tome kako sam pronašao način da generiram neograničen novac za Starbucks poklon kartice, čime sam sebi osigurao besplatnu kafu za cijeli život, ili ukrao par miliona od njih na druge načine.

Dakle, ne tako davno došao sam na ideju da kupim 3 Starbucks kartice po 5 dolara.

Starbucks.com ima lični račun na koji možete dodati ove kartice, vidjeti svoj bilans, pa čak i prebaciti novac s jedne kartice na drugu.

Postoji tako malo poznata klasa ranjivosti „stanja rase“. Sa sigurnošću mogu reći da je većina aplikacija koje mogu biti ranjive najvjerovatnije ranjiva na ovaj napad, jer ne uzima svaki programer u obzir faktore kao što je paralelno izvršavanje koda i njegove posljedice prilikom dizajniranja programa.

Javlja se iu web aplikacijama, obično u funkcijama vezanim za prijenos novca/bodova/umota slatkiša/vaučera. O svim zamršenostima rada reći ću vam drugi put, ali za sada se vratimo na transfer između kartica u Starbucksu.

Prijevod je napravljen od nekoliko zahtjeva sa stanjem. Šematski, prvi zahtjev POST /step1?amount=1&from=wallet1&to=wallet2 stavlja sve ove vrijednosti u sesiju na serveru, a tek drugi POST/step2?confirm prenosi podatke koji su već pohranjeni u sesiji i briše ih.

Ovo značajno otežava rad relativno klasične trke, gdje je potrebno samo nekoliko puta ponoviti isti zahtjev u isto vrijeme. Uostalom, čim prvi zahtjev očisti sesiju, drugi već nailazi na praznu sesiju! A da bi ovo nekako funkcionisalo, morao bih da napravim složenu kompoziciju zahteva koja piše u sesiju odmah nakon što je obrisana prvim zahtevom i pre izvršenja drugog zahteva. Ovo može uspjeti jednom u milion puta, a možda i neće raditi.

Ali uvijek postoji rješenje za takve “poluzaštite” - možete se prijaviti na isti nalog iz dva različita pretraživača/sesije. Tada operacija izgleda otprilike ovako:

#postavite parametre prijevoda u obje sesije
curl starbucks/step1 -H "Cookie: session=session1" --data "amount=1&from=wallet1&to=wallet2"
curl starbucks/step1 -H "Kolačić: session=session2" --data "iznos=1&from=wallet1&to=wallet2"
#istovremeno odobrenje transfera od 1$ sa kartice 1 na karticu 2.
curl starbucks/step2?confirm -H "Cookie: session=session1" & curl starbucks/step2?confirm -H "Cookie: session=session2" &

Nakon 5 pokušaja ništa zanimljivo se nije dogodilo i ja sam se spremao odustati. Posebnost uslova trke je da ga možete pokušati pronaći samo od strane napadača treće strane, jer se ne zna koje su zaštite na snazi ​​(broj zahtjeva po IP-u? zahtjeva po računu? zahtjeva za akciju?) i koji su zahtjevi za akciju? Jedini način da provjerite da li ste ranjivi je da pažljivo provjerite izvorni kod radi prisutnosti odgovarajućih pesimističkih brava u bazi podataka.

Na 6. zahtev dogodilo se čudo - transfer je obavljen dva puta i imao sam dve kartice sa 15 i 5 dolara, ukupno 20. Da bismo ovo smatrali dokazom koncepta, ostaje samo da se uverimo da će prodavnica prihvatiti ove kartice.

Otišao sam do najbližeg Starbucksa koji radi na Market st.

Daj mi nešto u vrijednosti od 16 dolara.
- O_o.
- Pa, šta ti je najdragocenije?
- Oni sendviči tamo.

Izašao je na 16,70 dolara.

Dakle, 15 dolara je uloženo u našu malu operaciju Y, a kupovine su obavljene u 16.70. Znajući kakav je odnos najhumanijeg američkog suda prema hakerima, kada sam se vratio kući, odmah sam sa kreditne kartice uplatio još 10 dolara na svoju Starbucks karticu, kako ne bih ostao dužan korporaciji čak 1,70 dolara, nikad se ne zna.

Slijedi najteži dio – proces izvještavanja. Podrška je iskreno odgovorila da ne mogu da me povežu sa tehničkim timom, pa nikako, i jako im je žao što sam se tako osećao. Objavio [email protected] 23. mart, tišina (inače, odgovorili su već 29. aprila). Morao sam da pronađem ljude kojima je stalo preko mojih prijatelja i poznanika, i tek nakon 10 dana ranjivost je otklonjena.

Niko se nije zahvalio, ali je dat nedvosmislen nagovještaj da sam počinio “prevaru” i “zlonamjerne radnje” i da će još razmišljati šta će sa mnom.

Šta sam mogao da uradim? Mogao bih pokrenuti farmu lažnih poklon kartica kupljenih u različitim trgovinama širom svijeta, zaraditi puno novca na njima i prodati ih na posebnim promotivnim stranicama uz 50 posto popusta (da ne izazivam sumnju) za bitcoine. Dakle, nakon godinu-dvije rada, iz ove prijateljske kompanije možete uz slatku kafu isisati par miliona dolara.

Starbucks kafići su popularno mjesto za opuštanje i sastajanje ljubitelja kvalitetne kafe i opuštene atmosfere. Kompanija je nekada počela prodajom brendiranih prženih zrna, a sada otvara objekte u kojima svaki posetilac može ne samo da proba ukusan napitak od kafe, već i da doručkuje ili užine, kao i da nabavi profesionalnu opremu za kuvanje kafe i brendirani pribor za posluživanje. . Predstavnici kompanije u Rusiji brinu o svojim kupcima i nude učešće u programu “My Starbucks Rewards”.

Kako dobiti karticu

Svaki klijent lanca kafića stariji od 14 godina ima pravo da besplatno dobije bonus karticu. Potrebno ga je dopuniti gotovinom i platiti svu robu na teritoriji kafića Starbucks. Za svaku kupovinu klijent dobija 1 zvjezdicu. 12 sakupljenih zvjezdica daje pravo na primanje “nagrade” u vidu besplatne kafe, čaja ili hrane, osim cijelih pita i kolača.

Ovako izgleda mapa nagrada.

Plastični medij se može izdati u bilo kojoj Starbucks poslovnici na blagajni ili možete kreirati virtualni ekvivalent online u mobilnoj aplikaciji Starbucks Russia. Kartica se aktivira nakon registracije na sajtu www.starbuckscard.ru i prva dopuna.

Karakteristike upotrebe

Starbucks kartica omogućava vlasniku da dobije ugodne bonuse, ali morate znati kako ga pravilno koristiti:

1. Nakon registracije za program My Starbucks Rewards, morate aktivirati karticu na web stranici www.starbuckscard.ru i uplatite minimalni iznos od 500 rubalja. Aktivacija se dešava u roku od 24 sata.
2. Za kreditiranje bonusa morate platiti proizvod samo Starbucks kartica.
3. Nagrada vrijedi 30 dana od datuma dodjele; ako se taj period izbjegne, bonus se vraća na nulu.
4. Možete pogledati svoje stanje, istoriju zaduženja i akumulacije bonusa, kao i dopuniti svoj račun putem ličnog računa na web stranici www.starbuckscard.ru ili putem mobilne aplikacije. Korišćenje potonjeg takođe omogućava plaćanje narudžbine direktno sa ekrana telefona (prilikom registracije virtuelne kartice).
5. Na web stranici kompanije moguće je postaviti automatsku i jednokratnu dopunu plastičnog ili virtualnog medijskog računa. Da biste to učinili, morate povezati bankovnu karticu za plaćanje na svom ličnom profilu i izvršiti jednokratnu uplatu ili postaviti stalnu dopunu. Dostupni scenariji: novac će biti kreditiran kada se dostigne minimalni iznos, određenog dana svake sedmice ili dana u mjesecu.

Nivoi programa

Prilikom registracije u sistemu bonus štednje, kupac dobija karticu Zeleni nivo. Da biste spriječili poništavanje vaših prikupljenih zvjezdica, morate izvršiti najmanje 1 kupovinu u roku od 12 uzastopnih mjeseci. U suprotnom, možete izgubiti sve akumulirane zvijezde. Zeleni nivo omogućava zamjenu 12 zvjezdica za napitak od kafe ili jelo.

Zlatni nivo dodjeljuje se uz akumulaciju 30 ili više zvjezdica tokom cijele godine. Privilegija:

• Bonus besplatna narudžba bilo kojeg proizvoda iz asortimana pića ili hrane u zamjenu za 12 akumuliranih zvjezdica;
• Promocija rođendanske čestitke - mogućnost da dobijete besplatnu kafu ili jelo u čast praznika;
• Dizajn zlatnih kartica;
• Ekskluzivne promocije koje se mogu prilagoditi ličnim preferencijama pri odabiru proizvoda ili načina plaćanja. Takođe možete ostvariti popust na hranu ili piće.

Kreiranje ličnog računa omogućava vam da izvršite korisne manipulacije s karticom. To uključuje: aktivaciju, provjeru stanja i nagrada, jednokratno ili periodično automatsko dopunjavanje, pregled historije transakcija.

Za registraciju računa idite na web stranicu www.starbuckscard.ru i odaberite karticu "Registracija".

Zatim unesite svoj broj telefona i kliknite na dugme „Preuzmi kod“.

U prozoru koji se otvori unesite primljeni kod.

Zatim će postati dostupna polja za označavanje broja i PIN koda (nalazi se na poleđini plastičnog nosača ispod ploče za grebanje pored 12-cifrenog broja) kartice primljene u kafiću i ličnih podataka. Primanje vijesti i promocija možete potvrditi i putem e-pošte.

Mobilna aplikacija "Starbucks Russia"

Za udobnost kupaca, Starbucks je razvio i uveo program za Android I iOS. Funkcionalnost aplikacije vam omogućava da aktivirate postojeću karticu i skenirate bar kod ili kreirate potpuno elektronsku verziju, saznate o novim promocijama i ponudama i pronađete najbliže kafiće. U "Starbucks Russia" možete pogledati detalje vašeg ličnog naloga.

Možete dopuniti svoju karticu i platiti narudžbu online.

Aplikacija će vas također obavijestiti o dostupnosti nagrada.

Imati Starbucks karticu je prava nagrada za poznavaoca kafe. Prepoznatljiv znak koji takođe čini život boljim. Kompanija Starbucks je kreirala svoju internu valutu Stars, primanjem i akumulacijom koju Učesnici Programa mogu zamijeniti za bonuse u Starbucks kafićima.

Da biste postali dio Bonus programa, samo idite na službenu web stranicu starbuckscard.ru i registrirajte karticu. Tamo ćete naći i listu ustanova koje učestvuju u promociji.

Karticu u fizičkom obliku možete dobiti u bilo kojem kafiću u lancu, tako što ćete samostalno odabrati dizajn koji vam se sviđa i odmah dopuniti svoj saldo iznosom od 500 do 10.000 rubalja za daljnje kupovine. Takođe možete kupiti Starbucks Gifts karticu online na web stranici http://starbuckscoffee.ru/ru/.

Kako registrovati Starbucks karticu?

Registracija Starbucks kartice pretvara je iz jednostavnog sredstva za plaćanje u generator poklona i bonusa.

Da biste im pristupili možete koristiti jedan od sljedećih metoda:

Korak 1. Idite na web stranicu http://starbuckscoffee.ru/ru/

Korak 2. Kreirajte lični nalog prateći detaljna uputstva

Korak 3. Registrirajte Starbucks karticu ili StarbucksGifts na web stranici.

1. Preuzmite mobilnu aplikaciju Starbucks.
2. Kreirajte nalog.
3. Registrirajte svoju Starbucks karticu ili StarbucksGifts karticu u aplikaciji.

Nivoi Starbucks kartice

Broj Starbucksovih poklona i bonusa u potpunosti ovisi o aktivnosti Učesnika Programa i njegovoj ljubavi prema napitcima od kafe. Nakon svake izvršene kupovine, kartici se dodeljuje jedna zvezdica.

Što više zvjezdica, to je viši status kartice.

Zeleni nivo

Zeleni nivo kartice se dodeljuje članu odmah po kupovini kartice, a za održavanje iste potrebno je izvršiti najmanje jednu kupovinu u roku od godinu dana nakon registracije kartice na starbuckscoffeeru. Ako za to vrijeme stanje na kartici nije dopunjeno zvjezdicama, privilegije Zelenog nivoa se zamrzavaju.

Zlatni nivo

Možete preći na zlatni nivo sa zelenog nivoa nakon što dobijete 30 zvjezdica u godini.

Karakteristike Starbucks kartice

Stanje kartice je pouzdano zaštićeno od krađe i može se vratiti u slučaju gubitka. Takva čestitka može biti odličan poklon s prepoznatljivim dizajnom „Srca od papira“ ili „Ljeto“.

Također, registracija Starbucks kartice znači pristup svim transakcijama, provjeru stanja direktno sa mobilnog uređaja, praćenje bonus aktivnosti i privilegija.

Privilegije zelenog nivoa

Privilegije Gold Level

1. Mogućnost primanja bilo kojeg pića ili jednog jela za svakih novih 12 zvjezdica, osim cijelih kolača.
2. Bilo koje piće ili jelo, osim cijelih kolača, kao poklon za vaš rođendan.
3. Ažuriran dizajn u zlatnoj boji.
4. Učešće u posebnim ponudama koje se distribuiraju putem SMS-a ili e-mail newslettera.

Kako koristiti mobilnu aplikaciju Starbucks?

Starbucks mobilna aplikacija kompatibilna je sa svim uređajima. Zahvaljujući njemu, možete pregledati najbliže kafiće, obavljati transakcije sa svojim stanjem i auto-dopunom, obavljati transakcije između kartica i biti u toku sa posebnim promocijama i ponudama.

Starbucks bonus program svojim kupcima još više približava kafu, omogućavajući im da profitabilno putuju kroz asortiman kafe u zrnu, ne samo uz dobrobit za tijelo i dušu, već i uz razumnu dopunu i uštedu u budžetu.