Ez a történet arról szól, hogyan találtam rá módot arra, hogy korlátlan összeget generáljak Starbucks-ajándékkártyákért, ezzel biztosítva egy életre szóló ingyenes kávét, vagy más módon lopjak el tőlük pár milliót.

Tehát nem is olyan régen az az ötletem támadt, hogy vegyek 3 Starbucks kártyát darabonként 5 dollárért.

A starbucks.com webhely rendelkezik egy személyes fiókkal, ahol hozzáadhatja ezeket a kártyákat, megtekintheti egyenlegét, és még pénzt is utalhat a kártyák között.

Van egy ilyen kevéssé ismert sebezhetőségi osztály, a "faji állapot". Bátran kijelenthetem, hogy az esetlegesen sebezhető alkalmazások nagy része ki van téve ennek a támadásnak, mert nem minden programozó vesz figyelembe programtervezéskor olyan tényezőket, mint a kódvégrehajtás párhuzamossága és annak következményei.

Webes alkalmazásokban is megtalálható, általában a pénz/pont/cukorpapír/utalvány utalásával kapcsolatos funkciókban. A működés minden bonyodalmáról máskor mesélek, de most térjünk vissza a Starbucks kártyái közötti átvitelhez.

A fordítás több állami kérés alapján készült. Sematikusan az első POST /step1?amount=1&from=wallet1&to=wallet2 kérés ezeket az értékeket a kiszolgálón lévő munkamenetbe helyezte, és csak a második POST/step2?confirm fordította le és törölte a munkamenetbe már bevitt adatokat.

Ez jelentősen megnehezíti a műveletet a klasszikus versenyhez képest, ahol ugyanazt a kérést kell egyszerre többször megismételni. Hiszen amint az első kérés törli a munkamenetet, a második máris egy üres munkamenetbe botlik! És ahhoz, hogy ez valahogy működjön, összetett kéréseket kell készítenie, amelyek közvetlenül az első kérés törlése után és a második kérés végrehajtása előtt írnak a munkamenetbe. Ez millió próbálkozásból egyszer működhet, vagy egyáltalán nem működik.

De mindig van megoldás az ilyen „félvédelmekre” – két különböző böngészőből/munkamenetből is bejelentkezhet ugyanabba a fiókba. Ekkor a művelet valahogy így néz ki:

#állítsa be a fordítási paramétereket mindkét munkamenetben
curl starbucks/step1 -H "Cookie: session=session1" --data "amount=1&from=wallet1&to=wallet2"
curl starbucks/step1 -H "Cookie: session=session2" --data "amount=1&from=wallet1&to=wallet2"
#1 dollár átutalásának egyidejű jóváhagyása az 1. kártyáról a 2. kártyára.
curl starbucks/step2?confirm -H "Cookie: session=session1" & curl starbucks/step2?confirm -H "Cookie: session=session2" &

5 próbálkozás után semmi érdekes nem történt, és feladni készültem. A versenyfeltétel sajátossága, hogy csak külső támadónak lehet megkeresni, mert nem tudni, mekkora védelmet érnek (IP-kérések száma? fiókonkénti kérések? műveletenkénti kérések?) és az egyetlen A sebezhetőség ellenőrzésének módja az, hogy gondosan megvizsgálja a forráskódot, hogy az adatbázisban található-e megfelelő pesszimista zárolás.

A hatodik kérésre csoda történt - kétszer történt az utalás, és volt két kártyám 15 és 5 dollárral, összesen 20. Ahhoz, hogy ezt a koncepció bizonyítékának tekintsük, meg kell győződni arról, hogy az üzlet elfogadja ezeket a kártyákat.

Elmentem a legközelebbi működő Starbucksba a Market St.

Adj valamit 16 dollárért.
- O_o.
- Nos, mi a legértékesebb dolga?
- Azok a szendvicsek.

16,70 dollár volt.

Tehát 15 dollárt fektettünk be az N kis műveletünkbe, és 16,70 dollárért vásároltunk. Ismerve az Egyesült Államok leghumánusabb bíróságának a hackerekkel szembeni hozzáállását, hazatérve azonnal jóváírtam a hitelkártyámról további 10 dollárt egy Starbucks-kártyán, hogy ne tartozzak a vállalatnak 1,70 dollárral, soha nem tudhatod. .

Aztán a legnehezebb a jelentési folyamat. A support őszintén válaszolt, hogy nem tud összekötni a technikai csapattal, nos, egyáltalán nem, és nagyon sajnálják, hogy így érzek. közzétett [e-mail védett] Március 23. csend (egyébként már április 29-én válaszoltak). Meg kellett találnom az embereket a barátokon keresztül, akik törődnek, és csak 10 nap múlva javították ki a sebezhetőséget.

Senki nem mondott köszönetet, de nem egyértelmű utalás hangzott el, hogy „csalást” és „rosszindulatú cselekedeteket” követtem el, és még gondolkodnak, mit kezdjenek velem.

Mit tehetnék? A világ különböző boltjaiban vásárolt hamis ajándékkártyákból gazdaságot tudnék vezetni, sok pénzt keresni rajtuk, és speciális promóciós oldalakon 50% kedvezménnyel (hogy ne keltsenek gyanút) eladhassam őket bitcoinért. Így egy-két év munka után édes kávéval kiszívhatna pár millió dollárt ebből a barátságos társaságból.

Hogyan törtem fel a Starbucksot korlátlan kávéért

• Információ biztonság ,
• Weboldalfejlesztés

Ez a történet arról szól, hogyan találtam rá módot arra, hogy korlátlan összeget generáljak Starbucks-ajándékkártyákért, ezzel biztosítva egy életre szóló ingyenes kávét, vagy más módon lopjak el tőlük pár milliót.

Tehát nem is olyan régen az az ötletem támadt, hogy vegyek 3 Starbucks kártyát darabonként 5 dollárért.

A starbucks.com webhely rendelkezik egy személyes fiókkal, ahol hozzáadhatja ezeket a kártyákat, megtekintheti egyenlegét, és még pénzt is utalhat a kártyák között.

Van egy ilyen kevéssé ismert sebezhetőségi osztály, a "faji állapot". Bátran kijelenthetem, hogy az esetlegesen sebezhető alkalmazások nagy része ki van téve ennek a támadásnak, mert nem minden programozó vesz figyelembe programtervezéskor olyan tényezőket, mint a kódvégrehajtás párhuzamossága és annak következményei.

Webes alkalmazásokban is megtalálható, általában a pénz/pont/cukorpapír/utalvány utalásával kapcsolatos funkciókban. A működés minden bonyodalmáról máskor mesélek, de most térjünk vissza a Starbucks kártyái közötti átvitelhez.

A fordítás több állami kérés alapján készült. Sematikusan az első POST /step1?amount=1&from=wallet1&to=wallet2 kérés ezeket az értékeket a kiszolgálón lévő munkamenetbe helyezte, és csak a második POST/step2?confirm fordította le és törölte a munkamenetbe már bevitt adatokat.

Ez jelentősen megnehezíti a műveletet a klasszikus versenyhez képest, ahol ugyanazt a kérést kell egyszerre többször megismételni. Hiszen amint az első kérés törli a munkamenetet, a második máris egy üres munkamenetbe botlik! És ahhoz, hogy ez valahogy működjön, összetett kéréseket kell készítenie, amelyek közvetlenül az első kérés törlése után és a második kérés végrehajtása előtt írnak a munkamenetbe. Ez millió próbálkozásból egyszer működhet, vagy egyáltalán nem működik.

De mindig van megoldás az ilyen „félvédelmekre” – két különböző böngészőből/munkamenetből is bejelentkezhet ugyanabba a fiókba. Ekkor a művelet valahogy így néz ki:

#állítsa be a fordítási paramétereket mindkét munkamenetben
curl starbucks/step1 -H "Cookie: session=session1" --data "amount=1&from=wallet1&to=wallet2"
curl starbucks/step1 -H "Cookie: session=session2" --data "amount=1&from=wallet1&to=wallet2"
#1 dollár átutalásának egyidejű jóváhagyása az 1. kártyáról a 2. kártyára.
curl starbucks/step2?confirm -H "Cookie: session=session1" & curl starbucks/step2?confirm -H "Cookie: session=session2" &

5 próbálkozás után semmi érdekes nem történt, és feladni készültem. A versenyfeltétel sajátossága, hogy csak külső támadónak lehet megkeresni, mert nem tudni, mekkora védelmet érnek (IP-kérések száma? fiókonkénti kérések? műveletenkénti kérések?) és az egyetlen A sebezhetőség ellenőrzésének módja az, hogy gondosan megvizsgálja a forráskódot, hogy az adatbázisban található-e megfelelő pesszimista zárolás.

A hatodik kérésre csoda történt - kétszer történt az utalás, és volt két kártyám 15 és 5 dollárral, összesen 20. Ahhoz, hogy ezt a koncepció bizonyítékának tekintsük, meg kell győződni arról, hogy az üzlet elfogadja ezeket a kártyákat.

Elmentem a legközelebbi működő Starbucksba a Market St.

Adj valamit 16 dollárért.
- O_o.
- Nos, mi a legértékesebb dolga?
- Azok a szendvicsek.

16,70 dollár volt.

Tehát 15 dollárt fektettünk be az N kis műveletünkbe, és 16,70 dollárért vásároltunk. Ismerve az Egyesült Államok leghumánusabb bíróságának a hackerekkel szembeni hozzáállását, hazatérve azonnal jóváírtam a hitelkártyámról további 10 dollárt egy Starbucks-kártyán, hogy ne tartozzak a vállalatnak 1,70 dollárral, soha nem tudhatod. .

Aztán a legnehezebb a jelentési folyamat. A support őszintén válaszolt, hogy nem tud összekötni a technikai csapattal, nos, egyáltalán nem, és nagyon sajnálják, hogy így érzek. közzétett [e-mail védett] Március 23. csend (egyébként már április 29-én válaszoltak). Meg kellett találnom az embereket a barátokon keresztül, akik törődnek, és csak 10 nap múlva javították ki a sebezhetőséget.

Senki nem mondott köszönetet, de nem egyértelmű utalás hangzott el, hogy „csalást” és „rosszindulatú cselekedeteket” követtem el, és még gondolkodnak, mit kezdjenek velem.

Mit tehetnék? A világ különböző boltjaiban vásárolt hamis ajándékkártyákból gazdaságot tudnék vezetni, sok pénzt keresni rajtuk, és speciális promóciós oldalakon 50% kedvezménnyel (hogy ne keltsenek gyanút) eladhassam őket bitcoinért. Így egy-két év munka után édes kávéval kiszívhatna pár millió dollárt ebből a barátságos társaságból.

A Starbucks kávéházak kedvelt hely a kikapcsolódásra és a találkozókra a minőségi kávé és a nyugodt légkör szerelmeseinek. A cég egykor elkezdte a márkás pörkölt bab árusítását, most pedig olyan létesítményeket nyit, ahol minden látogató nem csak megkóstolhat egy finom kávéitalt, hanem reggelizhet vagy uzsonnázhat, valamint professzionális kávéfőző berendezést és márkás tálalási kellékeket vásárolhat. A cég oroszországi képviselői gondoskodnak ügyfeleikről, és felajánlják a Starbucks My Rewards programban való részvételt.

Hogyan lehet kártyát szerezni

A kávézólánc 14 év feletti ügyfelei jogosultak ingyenes bónuszkártyát kapni. Készpénzzel kell feltölteni, és fizetni kell a Starbucks kávézó területén található összes áruért. Minden vásárlás után 1 csillagot kap a vásárló. 12 csillag összegyűjtése feljogosít egy "jutalmat" ingyenes kávé, tea vagy egy étel formájában, kivéve az egész pitéket és süteményeket.

Így néz ki a jutalomtérkép.

Műanyag adathordozót ki lehet adni bármely Starbucks értékesítési ponton a pénztárnál, vagy létrehozhat egy virtuális megfelelőt online a Starbucks Russia mobilalkalmazásban. A kártya az oldalon történő regisztráció után aktiválódik www.starbuckscard.comés az első utánpótlás.

Használati jellemzők

A Starbucks kártya lehetővé teszi, hogy a tulajdonos szép bónuszokat kapjon, de tudnia kell hogyan kell helyesen alkalmazni:

1. A Starbucks My Rewards programban való regisztráció után szükséges a kártya aktiválása a weboldalon www.starbuckscard.comés legalább 500 rubelt helyezzen el. Az aktiválás egy napon belül megtörténik.
2. A bónuszok fogadásához ki kell fizetnie az árut csak Starbucks kártya.
3. A jutalom a kinevezéstől számított 30 napig érvényes, ha ezt az időszakot túllépik, a bónusz nullára áll vissza.
4. Megtekintheti az egyenleget, a levonások és a bónuszok elhatárolásainak történetét, valamint feltöltheti fiókját személyes fiókján keresztül a www.starbuckscard.ru webhelyen vagy egy mobilalkalmazáson keresztül. Utóbbi használata lehetővé teszi a rendelés közvetlen fizetését is a telefon képernyőjéről (virtuális kártya regisztrálásakor).
5. A cég honlapján lehetőség van plasztik vagy virtuális média számla automatikus és egyszeri feltöltésének beállítására. Ehhez csatlakoztatnia kell egy fizetési bankkártyát a személyes profiljához, és egyszeri befizetést kell végrehajtania, vagy be kell állítania egy állandó feltöltést. Elérhető forgatókönyvek: a pénz jóváírása a minimális egyenleg elérésekor, minden hét vagy a hónap egy bizonyos napján történik.

Programszintek

A bónusz megtakarítási rendszerbe történő regisztrációkor a vásárló kártyát kap zöld szint. Ahhoz, hogy az összegyűjtött csillagok ne álljanak vissza, legalább 1 vásárlást kell végrehajtania 12 egymást követő hónapon belül. Ellenkező esetben elveszítheti az összes felhalmozott csillagot. Zöld szint lehetővé teszi, hogy 12 csillagot cseréljen egy kávéitalra vagy ételre.

Arany szint 30 vagy több csillag felhalmozódásától függ az év során. Kiváltság:

• Bármely termék bónuszmentes rendelése az ital- vagy ételkínálatból 12 összegyűjtött csillagért cserébe;
• Gratuláló promóció születésnaphoz - lehetőség ingyenes kávé vagy étel megszerzésére az ünnep tiszteletére;
• Aranykártya design;
• Exkluzív akciók, amelyek személyre szabhatóak a termékek vagy fizetési módok kiválasztásakor. Az ételek és italok árából is kedvezményt kaphat.

A személyes fiók létrehozása lehetővé teszi, hogy hasznos manipulációkat hajtson végre a kártyával. Köztük: aktiválás, egyenleg és jutalmak ellenőrzése, egyszeri vagy időszakos automatikus feltöltés, tranzakciós előzmények megtekintése.

Fiók regisztrálásához lépjen a webhelyre www.starbuckscard.comés válassza a "Regisztráció" fület.

Ezután adja meg telefonszámát, és kattintson a "Kód kérése" gombra.

A megnyíló ablakban írja be a kapott kódot.

Ezt követően elérhetővé válnak a kávézóban kapott kártya számának és PIN-kódjának megadására szolgáló mezők (ez a műanyag tartó hátoldalán található a karcoló panel alatt, a 12 jegyű szám mellett), valamint a személyes adatok megadására. A hírlevelek és promóciók kézhezvételét e-mailben is megerősítheti.

"Starbucks Russia" mobilalkalmazás

Az ügyfelek kényelme érdekében a Starbucks kifejlesztett és bevezetett egy programot AndroidÉs iOS. Az alkalmazás funkcionalitása lehetővé teszi egy meglévő kártya aktiválását és egy vonalkód beolvasását vagy egy teljesen elektronikus változat létrehozását, az új promóciók és ajánlatok megismerését, a legközelebbi kávézók megtalálását. A "Starbucks Russia" oldalon megtekintheti személyes fiókja adatait.

Elérhető a kártya feltöltésére és a rendelés online fizetésére.

Ezenkívül az alkalmazás értesíti Önt az elérhető jutalmak elérhetőségéről.

A Starbucks kártya jelenléte a kávé ínyenceinek igazi megrendelése. Megkülönböztető jegy, amely szintén jobbá teszi az életet. A Starbucks létrehozta a Stars (Stars) belső valutáját, amelyből a programtagok fogadják és halmozzák fel azokat bónuszokra a Starbucks kávézókban.

Ahhoz, hogy részt vehessen a bónuszprogramban, csak keresse fel a starbuckscard.ru hivatalos webhelyet, és regisztráljon egy kártyát. Ott találja a promócióban részt vevő intézmények listáját is.

Fizikai formában kaphat kártyát a hálózat bármely kávézójában, ha kiválasztja a kívánt dizájnt, és azonnal feltölti az egyenleget 500-10 000 rubel értékben további vásárlásokhoz. Online StarbucksGifts kártyát is vásárolhat a http://starbuckscoffee.ru/ru/ oldalon.

Hogyan kell Starbucks kártyát regisztrálni?

A Starbucks kártya regisztrációja egyszerű fizetőeszközből ajándékok és bónuszok generátorává változtatja.

Ezek eléréséhez az alábbi módszerek egyikét használhatja:

1. lépés. Menjen a http://starbuckscoffee.ru/ru/ webhelyre

2. lépés Hozzon létre személyes fiókot a részletes utasításokat követve

3. lépés Regisztráljon Starbucks- vagy StarbucksGifts-kártyát a webhelyen.

1. Töltse le a Starbucks mobilalkalmazást.
2. Hozzon létre egy fiókot.
3. Regisztráljon Starbucks- vagy StarbucksGifts-kártyát az alkalmazásban.

Starbucks kártyaszintek

A Starbucks ajándékainak és bónuszainak száma teljes mértékben a Programtag aktivitásától és a kávéitalok iránti szeretetétől függ. Minden vásárlás után a kártya egy csillagot (csillagokat) kap.

Minél több csillag, annál magasabb a kártya állapota.

Zöld szint

A kártya zöld szintjét a kártya megvásárlása után azonnal hozzárendeli a tag, melynek fenntartásához a kártya starbuckscoffeeru-n történő regisztrációját követő egy éven belül legalább egy vásárlást kell végrehajtani. Ha ezalatt az idő alatt a kártya egyenlege nem töltődik fel csillagokkal, a zöld szint jogosultságai lefagynak.

Arany szint

A zöld szintről Arany szintre léphet, miután egy év alatt 30 csillagot kapott.

Starbucks kártya jellemzői

A Kártya egyenlege megbízhatóan védve van a lopás ellen, és elvesztése esetén visszaigényelhető. Egy ilyen kártya nagyszerű ajándék lehet egy felismerhető "Papírszívek" vagy "Nyár" dizájnnal.

A Starbucks kártya regisztrálása azt is jelenti, hogy hozzáférést kap az összes tranzakcióhoz, az egyenleget közvetlenül a mobileszközéről ellenőrizheti, nyomon követheti a bónusztevékenységeket és a kiváltságokat.

Zöld szintű kiváltságok

Arany szintű kiváltságok

1. Lehetőség, hogy minden új 12 csillagért bármilyen italt vagy egy ételt kapjon, kivéve az egész tortákat.
2. Bármilyen ital vagy étel, kivéve a születésnapi ajándéknak szánt egész tortákat.
3. Frissített design arany színben.
4. Részvétel speciális ajánlatokban, amelyeket SMS-ben vagy e-mailes hírlevélben terjesztenek.

Hogyan használhatom a Starbucks mobilalkalmazást?

A Starbucks mobilalkalmazás minden eszközre alkalmas. Ennek köszönhetően megtekintheti a legközelebbi kávézókat, tranzakciókat hajthat végre egyenleggel és automatikus feltöltéssel, tranzakciókat bonyolíthat le a kártyák között, és értesülhet a különleges akciókról és ajánlatokról.

A Starbucks bónuszprogram még közelebb hozza ügyfeleit a kávéhoz, lehetővé teszi, hogy nyereségesen utazhasson a szemeskávé-választékban, nemcsak a test és a lélek számára előnyös, hanem ésszerű utánpótlással és költségvetési megtakarítással is.