Oto historia o tym, jak znalazłem sposób na generowanie nieograniczonych pieniędzy na karty podarunkowe Starbucks, zapewniając sobie w ten sposób darmową kawę na całe życie lub kradnąc z nich kilka milionów w inny sposób.

Tak więc niedawno wpadłem na pomysł zakupu 3 kart Starbucks po 5 dolarów każda.

Starbucks.com ma konto osobiste, na którym możesz dodawać te karty, przeglądać saldo, a nawet przesyłać pieniądze między kartami.

Istnieje taka mało znana klasa luk w zabezpieczeniach „warunków wyścigowych”. Mogę z całą pewnością powiedzieć, że większość aplikacji, które mogą być podatne na atak, jest najprawdopodobniej podatna na ten atak, ponieważ nie każdy programista projektując programy bierze pod uwagę takie czynniki, jak równoległe wykonanie kodu i jego konsekwencje.

Występuje także w aplikacjach webowych, najczęściej w funkcjach związanych z przesyłaniem pieniędzy/punktów/opakowania po cukierkach/voucherów. O wszystkich zawiłościach obsługi opowiem innym razem, ale na razie wróćmy do transferu pomiędzy kartami w Starbucks.

Tłumaczenie zostało zbudowane na podstawie kilku żądań stanowych. Schematycznie pierwsze żądanie POST /step1?amount=1&from=wallet1&to=wallet2 wstawia wszystkie te wartości do sesji na serwerze, a dopiero drugie POST/step2?confirm przesłało dane już zapisane w sesji i je wyczyściło.

To znacznie komplikuje obsługę stosunkowo klasycznego wyścigu, w którym wystarczy jedynie kilkukrotnie powtórzyć tę samą prośbę w tym samym czasie. Przecież gdy tylko pierwsze żądanie czyści sesję, drugie napotyka już pustą sesję! Aby to jakoś zadziałało, musiałbym stworzyć złożoną kompozycję żądań, która zapisuje sesję natychmiast po jej wyczyszczeniu przez pierwsze żądanie i przed wykonaniem drugiego żądania. To może zadziałać raz na milion razy, ale może nie zadziałać wcale.

Jednak zawsze istnieje obejście takich „częściowych zabezpieczeń” – możesz zalogować się na to samo konto z dwóch różnych przeglądarek/sesji. Wtedy operacja wygląda mniej więcej tak:

#ustaw parametry tłumaczenia w obu sesjach
curl starbucks/step1 -H "Cookie: sesja=sesja1" --data "kwota=1&od=portfel1&do=portfel2"
curl starbucks/step1 -H "Cookie: sesja=sesja2" --data "kwota=1&od=portfel1&do=portfel2"
#jednoczesna akceptacja przelewu 1 $ z karty 1 na kartę 2.
curl starbucks/krok2?potwierdź -H "Plik cookie: sesja=sesja 1" & curl starbucks/krok2?potwierdź -H "Plik cookie: sesja=sesja2" &

Po 5 próbach nic ciekawego się nie działo i już miałem się poddać. Specyfiką sytuacji wyścigu jest to, że można ją znaleźć jedynie przez osobę trzecią, ponieważ nie wiadomo, jakie zabezpieczenia są stosowane (liczba żądań według adresu IP? żądań na konto? żądań działania?) oraz Jedynym sposobem sprawdzenia, czy jesteś podatny na ataki, jest dokładne sprawdzenie kodu źródłowego pod kątem obecności odpowiednich pesymistycznych blokad w bazie danych.

Na 6-tą prośbę zdarzył się cud – przelew został wykonany dwukrotnie i miałem dwie karty po 15 i 5 dolarów, w sumie 20. Aby uznać to za dowód koncepcji, pozostaje jedynie upewnić się, że sklep akceptuje te karty.

Poszedłem do najbliższego działającego Starbucksa na Market St.

Daj mi coś wartego 16 dolarów.
- O_o.
- Cóż, co jest twoją najcenniejszą rzeczą?
- Te kanapki tam.

Wyszło 16,70 dolarów.

Zatem w naszą małą działalność Y zainwestowano 15 dolarów, a zakupów dokonano o godzinie 16:70. Znając podejście najbardziej humanitarnego amerykańskiego sądu do hakerów, po powrocie do domu od razu przelałem kolejne 10 dolarów z mojej karty kredytowej na kartę Starbucks, żeby nie być winien korporacji aż 1,70 dolara, nigdy nie wiadomo.

Następnie następuje najtrudniejsza część – proces raportowania. Wsparcie szczerze odpowiedziało, że nie mogą mnie połączyć z zespołem technicznym, no cóż, wcale i bardzo było im przykro, że tak się czułem. Wysłane przez [e-mail chroniony] 23 marca cisza (swoją drogą odpowiedzieli już 29 kwietnia). Musiałem znaleźć ludzi, którzy zaopiekowali się moimi przyjaciółmi i znajomymi, i dopiero po 10 dniach luka została naprawiona.

Nikt nie podziękował, ale dano jednoznaczną aluzję, że dopuściłem się „oszustwa” i „złośliwych działań” i że nadal będą się zastanawiać, co ze mną zrobić.

Co mógłbym zrobić? Mógłbym założyć farmę fałszywych kart podarunkowych kupowanych w różnych sklepach na całym świecie, wygenerować na nich mnóstwo pieniędzy i sprzedawać je na specjalnych portalach promocyjnych z 50-procentowym rabatem (aby nie wzbudzać podejrzeń) za bitcoiny. Tak więc, po roku lub dwóch latach pracy, przy słodkiej kawie można było wyssać z tej przyjaznej firmy kilka milionów dolarów.

Jak zhakowałem Starbucks, aby uzyskać nielimitowaną kawę

• Bezpieczeństwo informacji ,
• Rozwój strony internetowej

Oto historia o tym, jak znalazłem sposób na generowanie nieograniczonych pieniędzy na karty podarunkowe Starbucks, zapewniając sobie w ten sposób darmową kawę na całe życie lub kradnąc z nich kilka milionów w inny sposób.

Tak więc niedawno wpadłem na pomysł zakupu 3 kart Starbucks po 5 dolarów każda.

Starbucks.com ma konto osobiste, na którym możesz dodawać te karty, przeglądać saldo, a nawet przesyłać pieniądze między kartami.

Istnieje taka mało znana klasa luk w zabezpieczeniach „warunków wyścigowych”. Mogę z całą pewnością powiedzieć, że większość aplikacji, które mogą być podatne na atak, jest najprawdopodobniej podatna na ten atak, ponieważ nie każdy programista projektując programy bierze pod uwagę takie czynniki, jak równoległe wykonanie kodu i jego konsekwencje.

Występuje także w aplikacjach webowych, najczęściej w funkcjach związanych z przesyłaniem pieniędzy/punktów/opakowania po cukierkach/voucherów. O wszystkich zawiłościach obsługi opowiem innym razem, ale na razie wróćmy do transferu pomiędzy kartami w Starbucks.

Tłumaczenie zostało zbudowane na podstawie kilku żądań stanowych. Schematycznie pierwsze żądanie POST /step1?amount=1&from=wallet1&to=wallet2 wstawia wszystkie te wartości do sesji na serwerze, a dopiero drugie POST/step2?confirm przesłało dane już zapisane w sesji i je wyczyściło.

To znacznie komplikuje obsługę stosunkowo klasycznego wyścigu, w którym wystarczy jedynie kilkukrotnie powtórzyć tę samą prośbę w tym samym czasie. Przecież gdy tylko pierwsze żądanie czyści sesję, drugie napotyka już pustą sesję! Aby to jakoś zadziałało, musiałbym stworzyć złożoną kompozycję żądań, która zapisuje sesję natychmiast po jej wyczyszczeniu przez pierwsze żądanie i przed wykonaniem drugiego żądania. To może zadziałać raz na milion razy, ale może nie zadziałać wcale.

Jednak zawsze istnieje obejście takich „częściowych zabezpieczeń” – możesz zalogować się na to samo konto z dwóch różnych przeglądarek/sesji. Wtedy operacja wygląda mniej więcej tak:

#ustaw parametry tłumaczenia w obu sesjach
curl starbucks/step1 -H "Cookie: sesja=sesja1" --data "kwota=1&od=portfel1&do=portfel2"
curl starbucks/step1 -H "Cookie: sesja=sesja2" --data "kwota=1&od=portfel1&do=portfel2"
#jednoczesna akceptacja przelewu 1 $ z karty 1 na kartę 2.
curl starbucks/krok2?potwierdź -H "Plik cookie: sesja=sesja 1" & curl starbucks/krok2?potwierdź -H "Plik cookie: sesja=sesja2" &

Po 5 próbach nic ciekawego się nie działo i już miałem się poddać. Specyfiką sytuacji wyścigu jest to, że można ją znaleźć jedynie przez osobę trzecią, ponieważ nie wiadomo, jakie zabezpieczenia są stosowane (liczba żądań według adresu IP? żądań na konto? żądań działania?) oraz Jedynym sposobem sprawdzenia, czy jesteś podatny na ataki, jest dokładne sprawdzenie kodu źródłowego pod kątem obecności odpowiednich pesymistycznych blokad w bazie danych.

Na 6-tą prośbę zdarzył się cud – przelew został wykonany dwukrotnie i miałem dwie karty po 15 i 5 dolarów, w sumie 20. Aby uznać to za dowód koncepcji, pozostaje jedynie upewnić się, że sklep akceptuje te karty.

Poszedłem do najbliższego działającego Starbucksa na Market St.

Daj mi coś wartego 16 dolarów.
- O_o.
- Cóż, co jest twoją najcenniejszą rzeczą?
- Te kanapki tam.

Wyszło 16,70 dolarów.

Zatem w naszą małą działalność Y zainwestowano 15 dolarów, a zakupów dokonano o godzinie 16:70. Znając podejście najbardziej humanitarnego amerykańskiego sądu do hakerów, po powrocie do domu od razu przelałem kolejne 10 dolarów z mojej karty kredytowej na kartę Starbucks, żeby nie być winien korporacji aż 1,70 dolara, nigdy nie wiadomo.

Następnie następuje najtrudniejsza część – proces raportowania. Wsparcie szczerze odpowiedziało, że nie mogą mnie połączyć z zespołem technicznym, no cóż, wcale i bardzo było im przykro, że tak się czułem. Opublikowane przez InformationSecurityServ [e-mail chroniony] 23 marca cisza (swoją drogą odpowiedzieli już 29 kwietnia). Musiałem znaleźć ludzi, którzy zaopiekowali się moimi przyjaciółmi i znajomymi, i dopiero po 10 dniach luka została naprawiona.

Nikt nie podziękował, ale dano jednoznaczną aluzję, że dopuściłem się „oszustwa” i „złośliwych działań” i że nadal będą się zastanawiać, co ze mną zrobić.

Co mógłbym zrobić? Mógłbym założyć farmę fałszywych kart podarunkowych kupowanych w różnych sklepach na całym świecie, wygenerować na nich mnóstwo pieniędzy i sprzedawać je na specjalnych portalach promocyjnych z 50-procentowym rabatem (aby nie wzbudzać podejrzeń) za bitcoiny. Tak więc, po roku lub dwóch latach pracy, przy słodkiej kawie można było wyssać z tej przyjaznej firmy kilka milionów dolarów.

Kawiarnie Starbucks to popularne miejsce relaksu i spotkań miłośników dobrej kawy i miłej atmosfery. Firma kiedyś zaczynała od sprzedaży markowych palonych ziaren, a obecnie otwiera lokale, w których każdy odwiedzający może nie tylko skosztować pysznego napoju kawowego, ale także zjeść śniadanie lub przekąskę, a także zakupić profesjonalny sprzęt do parzenia kawy oraz markowe akcesoria do serwowania . Przedstawiciele firmy w Rosji dbają o swoich klientów i oferują udział w programie „Moje Starbucks Rewards”.

Jak zdobyć kartę

Każdy klient sieci kawiarni, który ukończył 14 lat, ma prawo otrzymać kartę bonusową bezpłatnie. Należy go uzupełnić gotówką i zapłacić za wszystkie towary na terenie kawiarni Starbucks. Za każdy zakup Klient otrzymuje 1 gwiazdkę. 12 zebranych gwiazdek uprawnia do otrzymania „nagrody” w postaci bezpłatnej kawy, herbaty lub jedzenia, z wyjątkiem całych ciast i ciast.

Tak wygląda mapa nagród.

Nośniki plastikowe możesz wydać w dowolnym lokalu Starbucks przy kasie lub możesz stworzyć wirtualny odpowiednik online w aplikacji mobilnej Starbucks Russia. Karta aktywowana jest po rejestracji w serwisie www.starbuckscard.ru i pierwsze uzupełnienie.

Funkcje użytkowania

Karta Starbucks pozwala właścicielowi otrzymać przyjemne bonusy, ale musisz o tym wiedzieć jak go poprawnie używać:

1. Po zarejestrowaniu się w programie My Starbucks Rewards należy aktywować kartę na stronie internetowej www.starbuckscard.ru i wpłać minimalną kwotę 500 rubli. Aktywacja następuje w ciągu 24 godzin.
2. Aby otrzymać bonusy, musisz zapłacić za produkt tylko Karta Starbucksa.
3. Nagroda jest ważna przez 30 dni od daty przydzielenia, w przypadku uniknięcia tego okresu premia zostaje wyzerowana.
4. Możesz sprawdzić swoje saldo, historię obciążeń i naliczeń bonusów, a także doładować swoje konto za pośrednictwem konta osobistego na stronie internetowej www.starbuckscard.ru lub za pośrednictwem aplikacji mobilnej. Korzystanie z tego ostatniego umożliwia także opłacenie zamówienia bezpośrednio z ekranu telefonu (podczas rejestracji karty wirtualnej).
5. Na stronie internetowej firmy istnieje możliwość ustawienia automatycznego i jednorazowego doładowania plastikowego lub wirtualnego konta medialnego. Aby to zrobić, musisz podłączyć kartę płatniczą do swojego profilu osobistego i dokonać jednorazowej płatności lub ustawić stałe uzupełnianie. Dostępne scenariusze: pieniądze zostaną zaksięgowane po osiągnięciu minimalnego salda, w określonym dniu każdego tygodnia lub miesiąca.

Poziomy programu

Kupujący rejestrując się w systemie bonusowego oszczędzania otrzymuje kartę Poziom zielony. Aby zapobiec zresetowaniu zebranych gwiazdek, musisz dokonać co najmniej 1 zakupu w ciągu 12 kolejnych miesięcy. W przeciwnym razie możesz stracić wszystkie zgromadzone gwiazdki. Poziom zielony umożliwia wymianę 12 gwiazdek na napój lub danie kawowe.

Poziom złoty przyznawane pod warunkiem zgromadzenia 30 lub więcej gwiazdek w ciągu całego roku. Przywilej:

• Bonusowe bezpłatne zamówienie dowolnego produktu z asortymentu napojów lub potraw w zamian za 12 zgromadzonych gwiazdek;
• Promocja z okazji urodzin - możliwość otrzymania darmowej kawy lub dania na cześć święta;
• Projekt złotej karty;
• Ekskluzywne promocje, które można dostosować do osobistych preferencji przy wyborze produktów lub metod płatności. Można także uzyskać zniżkę na jedzenie i napoje.

Utworzenie konta osobistego umożliwia przeprowadzanie przydatnych manipulacji kartą. Należą do nich: aktywacja, sprawdzenie salda i nagród, jednorazowe lub okresowe automatyczne uzupełnianie, przeglądanie historii transakcji.

Aby zarejestrować konto należy wejść na stronę www.starbuckscard.ru i wybierz zakładkę „Rejestracja”.

Następnie wpisz swój numer telefonu i kliknij przycisk „Odbierz kod”.

W oknie, które się otworzy, wpisz otrzymany kod.

Następnie udostępnione zostaną pola służące do wskazania numeru i kodu PIN (znajduje się on na odwrocie plastikowego nośnika pod zdrapką obok 12-cyfrowego numeru) karty otrzymanej w kawiarni oraz danych osobowych. Otrzymanie nowości i promocji możesz także potwierdzić e-mailem.

Aplikacja mobilna „Starbucks Rosja”

Dla wygody klientów Starbucks opracował i wprowadził program dot Android I iOS. Funkcjonalność aplikacji pozwala aktywować istniejącą kartę i zeskanować kod kreskowy lub stworzyć wersję w pełni elektroniczną, poznać nowe promocje i oferty oraz znaleźć najbliższe kawiarnie. W „Starbucks Rosja” możesz zobaczyć szczegóły swojego konta osobistego.

Możesz doładować kartę i opłacić zamówienie online.

Aplikacja powiadomi Cię również o dostępności nagród.

Posiadanie Karty Starbucks to prawdziwa nagroda dla konesera kawy. Charakterystyczny znak, który jednocześnie czyni życie lepszym. Firma Starbucks stworzyła swoją wewnętrzną walutę Starbucks, odbierając i gromadząc, którzy Uczestnicy Programu mogą je wymienić na bonusy w kawiarniach Starbucks.

Aby zostać częścią Programu Bonusowego, wystarczy wejść na oficjalną stronę starbuckscard.ru i zarejestrować kartę. Znajdziesz tam także listę placówek, które biorą udział w promocji.

Kartę w formie fizycznej możesz otrzymać w dowolnej kawiarni w sieci, samodzielnie wybierając projekt, który Ci się podoba i natychmiast doładowując saldo kwotą od 500 do 10 000 rubli na dalsze zakupy. Kartę upominkową Starbucks Gifts możesz także kupić online na stronie http://starbuckscoffee.ru/ru/.

Jak zarejestrować kartę Starbucks?

Rejestracja karty Starbucks zmienia ją z wygodnego środka płatniczego w generator prezentów i bonusów.

Aby uzyskać do nich dostęp, możesz skorzystać z jednej z następujących metod:

Krok 1. Przejdź do strony internetowej http://starbuckscoffee.ru/ru/

Krok 2. Utwórz konto osobiste, postępując zgodnie ze szczegółowymi instrukcjami

Krok 3. Zarejestruj Kartę Starbucks lub StarbucksGifts na stronie internetowej.

1. Pobierz aplikację mobilną Starbucks.
2. Utwórz konto.
3. Zarejestruj swoją Kartę Starbucks lub Kartę StarbucksGifts w aplikacji.

Poziomy kart Starbucks

Liczba prezentów i bonusów od Starbucks zależy wyłącznie od aktywności Uczestnika Programu i jego zamiłowania do napojów kawowych. Po każdym dokonanym zakupie do karty przydzielana jest jedna Gwiazdka.

Im więcej gwiazdek, tym wyższy status karty.

Poziom zielony

Poziom zielony karty nadawany jest członkowi natychmiast po zakupie karty i aby go utrzymać, należy dokonać przynajmniej jednego zakupu w ciągu roku od zarejestrowania karty na starbuckscoffeeru. Jeżeli w tym czasie saldo karty nie zostanie uzupełnione gwiazdkami, uprawnienia poziomu Green Level zostaną zamrożone.

Poziom złoty

Na poziom Złoty można przejść z poziomu Zielonego po zdobyciu 30 gwiazdek w ciągu roku.

Cechy karty Starbucks

Saldo Karty jest niezawodnie chronione przed kradzieżą i można je odzyskać w przypadku utraty. Taka Kartka może być doskonałym prezentem z rozpoznawalnym wzorem „Papierowe Serca” lub „Lato”.

Rejestracja karty Starbucks oznacza także dostęp do wszystkich transakcji, sprawdzanie salda bezpośrednio z urządzenia mobilnego, śledzenie bonusowych aktywności i przywilejów.

Przywileje na poziomie zielonym

Przywileje na poziomie złotym

1. Możliwość otrzymania dowolnego napoju lub jednego dania za każde nowe 12 gwiazdek, za wyjątkiem całych ciast.
2. Dowolny napój lub danie, z wyłączeniem całych ciast, jako prezent na urodziny.
3. Zaktualizowany projekt w kolorze złotym.
4. Udział w ofertach specjalnych, które są dystrybuowane za pośrednictwem biuletynu SMS lub e-mail.

Jak korzystać z aplikacji mobilnej Starbucks?

Aplikacja mobilna Starbucks jest kompatybilna ze wszystkimi urządzeniami. Dzięki niemu możesz przeglądać najbliższe kawiarnie, przeprowadzać transakcje ze swojego salda i automatycznego uzupełniania, dokonywać transakcji między kartami oraz być na bieżąco ze specjalnymi promocjami i ofertami.

Program bonusowy Starbucks jeszcze bardziej przybliża swoich klientów do kawy, umożliwiając im opłacalne podróżowanie po asortymencie ziaren kawy, nie tylko z korzyściami dla ciała i duszy, ale także z rozsądnym uzupełnieniem i oszczędnościami budżetowymi.