Bu, Starbucks hediye kartları için sınırsız para kazanmanın bir yolunu nasıl bulduğumun, böylece kendime ömür boyu bedava kahve sağlamanın veya başka şekillerde onlardan birkaç milyon çalmanın hikayesidir.

Kısa süre önce tanesi 5 dolara 3 Starbucks kartı satın alma fikri aklıma geldi.

Starbucks.com'un bu kartları ekleyebileceğiniz, bakiyenizi görüntüleyebileceğiniz ve hatta kartlar arasında para aktarabileceğiniz kişisel bir hesabı vardır.

Çok az bilinen bir "ırk durumu" güvenlik açıkları sınıfı var. Güvenlik açığı olabilecek çoğu uygulamanın bu saldırıya karşı büyük olasılıkla savunmasız olduğunu güvenle söyleyebilirim çünkü her programcı, program tasarlarken paralel kod yürütme ve bunun sonuçları gibi faktörleri hesaba katmaz.

Aynı zamanda web uygulamalarında, genellikle para/puan/şeker ambalajları/kuponların transferi ile ilgili işlevlerde de görülür. Operasyonun tüm inceliklerini size başka bir zaman anlatacağım ama şimdilik Starbucks'ta kartlar arası transfere dönelim.

Çeviri, durum bilgisi olan birçok istekten oluşturuldu. Şematik olarak, ilk istek POST /step1?amount=1&from=wallet1&to=wallet2 tüm bu değerleri sunucudaki oturuma koydu ve yalnızca ikinci POST/step2?confirm zaten oturumda depolanan verileri aktardı ve temizledi.

Bu, aynı isteği aynı anda birkaç kez tekrarlamanın yeterli olduğu nispeten klasik bir yarışın işleyişini önemli ölçüde karmaşıklaştırır. Sonuçta, ilk istek oturumu temizler temizlemez, ikincisi zaten boş bir oturumla karşılaşıyor! Ve bunun bir şekilde işe yaraması için, ilk istek tarafından temizlendikten hemen sonra ve ikinci isteğin yürütülmesinden önce oturuma yazan karmaşık bir istek bileşimi oluşturmam gerekir. Bu milyonda bir işe yarayabilir ya da hiç işe yaramayabilir.

Ancak bu tür "yarı korumalar" için her zaman bir geçici çözüm vardır; aynı hesaba iki farklı tarayıcıdan/oturumdan giriş yapabilirsiniz. Daha sonra operasyon şuna benzer:

#her iki oturumda da çeviri parametrelerini ayarlayın
curl starbucks/adım1 -H "Çerez: oturum=oturum1" --data "miktar=1&from=cüzdan1&to=cüzdan2"
curl starbucks/adım1 -H "Çerez: oturum=oturum2" --data "miktar=1&from=cüzdan1&to=cüzdan2"
#kart 1'den kart 2'ye 1$'lık transferin eşzamanlı onayı.
curl starbucks/adım2?confirm -H "Çerez: oturum=oturum1" & curl starbucks/adım2?confirm -H "Çerez: oturum=oturum2" &

5 denemeden sonra ilginç bir şey olmadı ve pes etmek üzereydim. Yarış durumunun özelliği, onu yalnızca üçüncü taraf bir saldırgan tarafından bulmaya çalışabilmenizdir, çünkü hangi korumaların yürürlükte olduğu bilinmemektedir (IP'ye göre talep sayısı mı? hesap başına talepler mi? eylem talepleri?) ve Savunmasız olup olmadığınızı kontrol etmenin tek yolu, kaynak kodunu, veritabanında uygun kötümser kilitlerin varlığı açısından dikkatle denetlemektir.

6. istekte bir mucize gerçekleşti - transfer iki kez yapıldı ve elimde 15 ve 5 dolarlık iki kartım vardı, toplamda 20 adet. Bunu bir konsept kanıtı olarak görmek için geriye kalan tek şey mağazanın bu kartları kabul edeceğinden emin olmaktır.

Market caddesindeki en yakın çalışan Starbucks'a gittim.

Bana 16 dolar değerinde bir şey ver.
- O_o.
- Peki en değerli varlığınız nedir?
- Şuradaki sandviçler.

16,70 dolara çıktı.

Böylece küçük işletmemiz Y'ye 15 dolar yatırım yapıldı ve 16.70'ten alım yapıldı. ABD mahkemesinin bilgisayar korsanlarına karşı en insancıl tavrını bildiğimden, eve döndüğümde, şirkete 1,70 dolar kadar borcum olmasın diye, kredi kartımdan Starbucks kartıma hemen 10 dolar daha aktardım, bilemezsiniz.

Daha sonra en zor kısım geliyor: raporlama süreci. Destek ekibi dürüstçe beni teknik ekibe bağlayamadıklarını, hatta hiç bağlayamadıklarını ve böyle hissettiğim için çok üzüldüklerini söyledi. tarafından gönderildi [e-posta korumalı] 23 Mart, sessizlik (bu arada, 29 Nisan gibi erken bir tarihte yanıt verdiler). Arkadaşlarım ve tanıdıklarım aracılığıyla ilgilenen insanları bulmam gerekiyordu ve ancak 10 gün sonra güvenlik açığı giderildi.

Kimse teşekkür etmedi ama benim "dolandırıcılık" ve "kötü niyetli eylemler" yaptığımı ve hala benimle ne yapacaklarını düşüneceklerini açıkça ima etti.

Ne yapabilirdim? Dünya çapındaki farklı mağazalardan satın alınan sahte hediye kartları çiftliği kurabilir, bunlardan çok para kazanabilir ve bunları özel promosyon sitelerinde bitcoin için yüzde 50 indirimle (şüphe uyandırmamak için) satabilirim. Yani, bir veya iki yıl çalıştıktan sonra, bu dost canlısı şirketten tatlı kahve eşliğinde birkaç milyon dolar çekebilirsiniz.

Sınırsız Kahve İçin Starbucks'ı Nasıl Hackledim

• Bilgi Güvenliği ,
• Web sitesi geliştirme

Bu, Starbucks hediye kartları için sınırsız para kazanmanın bir yolunu nasıl bulduğumun, böylece kendime ömür boyu bedava kahve sağlamanın veya başka şekillerde onlardan birkaç milyon çalmanın hikayesidir.

Kısa süre önce tanesi 5 dolara 3 Starbucks kartı satın alma fikri aklıma geldi.

Starbucks.com'un bu kartları ekleyebileceğiniz, bakiyenizi görüntüleyebileceğiniz ve hatta kartlar arasında para aktarabileceğiniz kişisel bir hesabı vardır.

Çok az bilinen bir "ırk durumu" güvenlik açıkları sınıfı var. Güvenlik açığı olabilecek çoğu uygulamanın bu saldırıya karşı büyük olasılıkla savunmasız olduğunu güvenle söyleyebilirim çünkü her programcı, program tasarlarken paralel kod yürütme ve bunun sonuçları gibi faktörleri hesaba katmaz.

Aynı zamanda web uygulamalarında, genellikle para/puan/şeker ambalajları/kuponların transferi ile ilgili işlevlerde de görülür. Operasyonun tüm inceliklerini size başka bir zaman anlatacağım ama şimdilik Starbucks'ta kartlar arası transfere dönelim.

Çeviri, durum bilgisi olan birçok istekten oluşturuldu. Şematik olarak, ilk istek POST /step1?amount=1&from=wallet1&to=wallet2 tüm bu değerleri sunucudaki oturuma koydu ve yalnızca ikinci POST/step2?confirm zaten oturumda depolanan verileri aktardı ve temizledi.

Bu, aynı isteği aynı anda birkaç kez tekrarlamanın yeterli olduğu nispeten klasik bir yarışın işleyişini önemli ölçüde karmaşıklaştırır. Sonuçta, ilk istek oturumu temizler temizlemez, ikincisi zaten boş bir oturumla karşılaşıyor! Ve bunun bir şekilde işe yaraması için, ilk istek tarafından temizlendikten hemen sonra ve ikinci isteğin yürütülmesinden önce oturuma yazan karmaşık bir istek bileşimi oluşturmam gerekir. Bu milyonda bir işe yarayabilir ya da hiç işe yaramayabilir.

Ancak bu tür "yarı korumalar" için her zaman bir geçici çözüm vardır; aynı hesaba iki farklı tarayıcıdan/oturumdan giriş yapabilirsiniz. Daha sonra operasyon şuna benzer:

#her iki oturumda da çeviri parametrelerini ayarlayın
curl starbucks/adım1 -H "Çerez: oturum=oturum1" --data "miktar=1&from=cüzdan1&to=cüzdan2"
curl starbucks/adım1 -H "Çerez: oturum=oturum2" --data "miktar=1&from=cüzdan1&to=cüzdan2"
#kart 1'den kart 2'ye 1$'lık transferin eşzamanlı onayı.
curl starbucks/adım2?confirm -H "Çerez: oturum=oturum1" & curl starbucks/adım2?confirm -H "Çerez: oturum=oturum2" &

5 denemeden sonra ilginç bir şey olmadı ve pes etmek üzereydim. Yarış durumunun özelliği, onu yalnızca üçüncü taraf bir saldırgan tarafından bulmaya çalışabilmenizdir, çünkü hangi korumaların yürürlükte olduğu bilinmemektedir (IP'ye göre talep sayısı mı? hesap başına talepler mi? eylem talepleri?) ve Savunmasız olup olmadığınızı kontrol etmenin tek yolu, kaynak kodunu, veritabanında uygun kötümser kilitlerin varlığı açısından dikkatle denetlemektir.

6. istekte bir mucize gerçekleşti - transfer iki kez yapıldı ve elimde 15 ve 5 dolarlık iki kartım vardı, toplamda 20 adet. Bunu bir konsept kanıtı olarak görmek için geriye kalan tek şey mağazanın bu kartları kabul edeceğinden emin olmaktır.

Market caddesindeki en yakın çalışan Starbucks'a gittim.

Bana 16 dolar değerinde bir şey ver.
- O_o.
- Peki en değerli varlığınız nedir?
- Şuradaki sandviçler.

16,70 dolara çıktı.

Böylece küçük işletmemiz Y'ye 15 dolar yatırım yapıldı ve 16.70'ten alım yapıldı. ABD mahkemesinin bilgisayar korsanlarına karşı en insancıl tavrını bildiğimden, eve döndüğümde, şirkete 1,70 dolar kadar borcum olmasın diye, kredi kartımdan Starbucks kartıma hemen 10 dolar daha aktardım, bilemezsiniz.

Daha sonra en zor kısım geliyor: raporlama süreci. Destek ekibi dürüstçe beni teknik ekibe bağlayamadıklarını, hatta hiç bağlayamadıklarını ve böyle hissettiğim için çok üzüldüklerini söyledi. Bilgi GüvenliğiServ tarafından gönderildi [e-posta korumalı] 23 Mart, sessizlik (bu arada, 29 Nisan gibi erken bir tarihte yanıt verdiler). Arkadaşlarım ve tanıdıklarım aracılığıyla ilgilenen insanları bulmam gerekiyordu ve ancak 10 gün sonra güvenlik açığı giderildi.

Kimse teşekkür etmedi ama benim "dolandırıcılık" ve "kötü niyetli eylemler" yaptığımı ve hala benimle ne yapacaklarını düşüneceklerini açıkça ima etti.

Ne yapabilirdim? Dünya çapındaki farklı mağazalardan satın alınan sahte hediye kartları çiftliği kurabilir, bunlardan çok para kazanabilir ve bunları özel promosyon sitelerinde bitcoin için yüzde 50 indirimle (şüphe uyandırmamak için) satabilirim. Yani, bir veya iki yıl çalıştıktan sonra, bu dost canlısı şirketten tatlı kahve eşliğinde birkaç milyon dolar çekebilirsiniz.

Starbucks kahve dükkanları, kaliteli kahve ve rahat bir atmosfer sevenler için popüler bir dinlenme ve buluşma mekanıdır. Şirket bir zamanlar markalı kavrulmuş fasulye satarak işe başladı ve şimdi her ziyaretçinin sadece lezzetli bir kahve içeceğinin tadına bakmakla kalmayıp aynı zamanda kahvaltı veya atıştırmalık yiyebileceği, ayrıca kahve demlemek için profesyonel ekipman ve servis için markalı aksesuarlar satın alabileceği işletmeler açıyor. . Şirketin Rusya'daki temsilcileri müşterileriyle ilgileniyor ve "My Starbucks Rewards" programına katılım teklif ediyor.

Kart nasıl alınır

Kahvehane zincirinin 14 yaş üzerindeki her müşterisi ücretsiz bonus kart alma hakkına sahiptir. Nakit olarak doldurulması ve Starbucks kafeteryasındaki tüm mallar için ödenmesi gerekiyor. Her satın alma işleminde müşteri 1 yıldız alır. Toplanan 12 yıldız, bütün turtalar ve kekler hariç, ücretsiz kahve, çay veya yiyecek şeklinde bir "ödül" alma hakkı verir.

Ödül haritası böyle görünüyor.

Plastik medya, kasada herhangi bir Starbucks satış noktasında verilebilir veya Starbucks Rusya mobil uygulamasında çevrimiçi olarak sanal bir eşdeğer oluşturabilirsiniz. Kart siteye kayıt olduktan sonra etkinleştirilir www.starbuckscard.ru ve ilk ikmal.

Kullanım özellikleri

Starbucks kartı, sahibinin hoş bonuslar almasına olanak tanır, ancak bilmeniz gerekir doğru şekilde nasıl kullanılır:

1. My Starbucks Rewards programına kaydolduktan sonra kartı web sitesinde etkinleştirmelisiniz. www.starbuckscard.ru ve minimum 500 ruble tutarında para yatırın. Etkinleştirme 24 saat içinde gerçekleşir.
2. Bonusları kredilendirmek için ürün için ödeme yapmanız gerekir sadece Starbucks kartı.
3. Ödül, atama tarihinden itibaren 30 gün süreyle geçerlidir; bu sürenin aşılması durumunda bonus sıfırlanır.
4. Bakiyenizi, borç geçmişini ve bonus tahakkuklarını görüntüleyebilir ve ayrıca www.starbuckscard.ru web sitesindeki kişisel hesabınız veya mobil uygulama aracılığıyla hesabınıza yükleme yapabilirsiniz. İkincisini kullanmak aynı zamanda bir sipariş için doğrudan telefon ekranından ödeme yapmayı da mümkün kılar (bir sanal kart kaydederken).
5. Şirketin web sitesinde plastik veya sanal medya hesabının otomatik ve tek seferlik yenilenmesini ayarlamak mümkündür. Bunu yapmak için, kişisel profilinize bir ödeme banka kartı bağlamanız ve tek seferlik ödeme yapmanız veya sürekli yenileme ayarlamanız gerekir. Mevcut senaryolar: Her haftanın belirli bir gününde veya ayın belirli bir gününde minimum bakiyeye ulaşıldığında para yatırılacaktır.

Program seviyeleri

Bonus tasarruf sistemine kaydolurken alıcıya bir kart verilir Yeşil seviye. Topladığınız yıldızların sıfırlanmaması için 12 ay üst üste en az 1 alışveriş yapmanız gerekmektedir. Aksi takdirde biriken tüm yıldızları kaybedebilirsiniz. Yeşil seviye 12 yıldızı bir kahve içeceği veya tabağıyla değiştirmeyi mümkün kılar.

Altın seviyesi yıl boyunca 30 veya daha fazla yıldızın birikmesine bağlı olarak verilir. Ayrıcalık:

• Birikmiş 12 yıldız karşılığında içecek veya yiyecek yelpazesinden herhangi bir ürünün bonussuz siparişi;
• Doğum günü tebrik promosyonu - tatilin şerefine ücretsiz kahve veya yemek alma fırsatı;
• Altın kart tasarımı;
• Ürün veya ödeme yöntemi seçerken kişisel tercihlere göre özelleştirilebilen özel promosyonlar. Yiyecek ve içeceklerde de indirim alabilirsiniz.

Kişisel bir hesap oluşturmak, kartla faydalı manipülasyonlar yapmanızı sağlar. Bunlar şunları içerir: etkinleştirme, bakiyeyi ve ödülleri kontrol etme, tek seferlik veya periyodik otomatik yenileme, işlem geçmişini görüntüleme.

Bir hesap kaydetmek için web sitesine gidin www.starbuckscard.ru ve "Kayıt" sekmesini seçin.

Daha sonra telefon numaranızı girin ve “Kodu al” butonuna tıklayın.

Açılan pencerede alınan kodu girin.

Daha sonra kafeye alınan kartın numarasını ve PIN kodunu (plastik taşıyıcının arkasında, kazıma panelinin altında, 12 haneli numaranın yanında bulunur) ve kişisel verileri gösteren alanlar açılacaktır. Ayrıca haber ve promosyonların alındığını e-postayla da doğrulayabilirsiniz.

Mobil uygulama "Starbucks Rusya"

Müşterilerin rahatlığı için Starbucks bir program geliştirdi ve uygulamaya koydu. Android Ve iOS. Uygulamanın işlevselliği, mevcut bir kartı etkinleştirmenize ve barkodu taramanıza veya tamamen elektronik bir sürüm oluşturmanıza, yeni promosyonlar ve teklifler hakkında bilgi edinmenize ve en yakın kafeleri bulmanıza olanak tanır. "Starbucks Rusya"da kişisel hesabınızın ayrıntılarını görüntüleyebilirsiniz.

Kartınıza yükleme yapabilir ve siparişinizin ödemesini online olarak yapabilirsiniz.

Uygulama aynı zamanda ödüllerin mevcut olup olmadığı konusunda sizi bilgilendirecektir.

Starbucks Kartına sahip olmak bir kahve uzmanı için gerçek bir ödüldür. Hayatı daha iyi hale getiren ayırt edici bir işaret. Starbucks şirketi, hangi Program Katılımcılarının bunları Starbucks kafelerinde bonuslarla değiştirebileceklerini alıp biriktirerek kendi iç para birimi Yıldızlarını yarattı.

Bonus Programının bir parçası olmak için starbuckscard.ru resmi web sitesine gitmeniz ve bir kart kaydetmeniz yeterlidir. Burada ayrıca promosyona katılan kuruluşların bir listesini de bulacaksınız.

Zincirdeki herhangi bir kafede, beğendiğiniz tasarımı bağımsız olarak seçerek ve daha fazla satın alma işlemi yapmak için bakiyenize hemen 500 ila 10.000 ruble arasında bir miktar ekleyerek fiziksel formda bir kart alabilirsiniz. Ayrıca http://starbuckscoffee.ru/ru/ web sitesinden çevrimiçi olarak Starbucks Hediye Kartı satın alabilirsiniz.

Starbucks kartı nasıl kaydedilir?

Bir Starbucks kartını kaydettirmek, onu yalnızca kullanışlı bir ödeme aracı olmaktan çıkarıp bir hediye ve bonus üreticisine dönüştürür.

Bunlara erişmek için aşağıdaki yöntemlerden birini kullanabilirsiniz:

Aşama 1. Http://starbuckscoffee.ru/ru/ web sitesine gidin

Adım 2. Ayrıntılı talimatları izleyerek kişisel bir hesap oluşturun

Aşama 3. Web sitesine bir Starbucks Kartı veya StarbucksGifts kaydedin.

1. Starbucks'ın mobil uygulamasını indirin.
2. Bir hesap oluşturun.
3. Starbucks Kartınızı veya StarbucksGifts Kartınızı Uygulamaya kaydedin.

Starbucks kart seviyeleri

Starbucks'tan gelen hediye ve ikramiyelerin sayısı tamamen Program Katılımcısının faaliyetine ve kahve içeceklerine olan sevgisine bağlıdır. Yapılan her satın alma işleminden sonra karta bir Yıldız atanır.

Ne kadar çok Yıldız olursa kartın durumu o kadar yüksek olur.

Yeşil seviye

Kartın yeşil seviyesi, kartı satın aldıktan hemen sonra üyeye atanır ve bunu muhafaza etmek için, kartı starbuckscoffeeru'ya kaydettikten sonra bir yıl içinde en az bir satın alma işlemi yapılması gerekmektedir. Bu süre zarfında kart bakiyesi yıldızlarla doldurulmazsa Yeşil Seviye ayrıcalıkları dondurulur.

Altın seviyesi

Yılda 30 yıldız aldıktan sonra Yeşil seviyeden Altın seviyeye geçebilirsiniz.

Starbucks kartının özellikleri

Kart bakiyesi hırsızlığa karşı güvenilir bir şekilde korunur ve kaybolması durumunda geri yüklenebilir. Böyle bir Kart, tanınabilir bir "Kağıt Kalpler" veya "Yaz" tasarımıyla mükemmel bir hediye olabilir.

Ayrıca Starbucks kartına kaydolmak, tüm işlemlere erişim sağlamak, bakiyenizi doğrudan mobil cihazınızdan kontrol etmek, bonus aktivitelerini ve ayrıcalıklarını takip etmek anlamına gelir.

Yeşil Seviye Ayrıcalıkları

Altın Seviye Ayrıcalıkları

1. Bütün kekler hariç, her yeni 12 yıldız için herhangi bir içecek veya bir yemek alma yeteneği.
2. Doğum gününüz için hediye olarak bütün kekler hariç herhangi bir içecek veya yemek.
3. Altın renginde güncellenmiş tasarım.
4. SMS veya e-posta bülteni yoluyla dağıtılan özel tekliflere katılım.

Starbucks mobil uygulaması nasıl kullanılır?

Starbucks mobil uygulaması tüm cihazlarla uyumludur. Bu sayede size en yakın kafeleri görüntüleyebilir, bakiyenizle ve otomatik yüklemenizle işlem yapabilir, kartlar arası işlem yapabilir, özel promosyon ve kampanyalardan haberdar olabilirsiniz.

Starbucks bonus programı, müşterilerini kahveye daha da yakınlaştırarak, yalnızca beden ve ruh için fayda sağlamakla kalmayıp, aynı zamanda makul bir yenileme ve bütçe tasarrufuyla da kahve çekirdeği çeşitleri arasında karlı bir şekilde seyahat etmelerine olanak tanıyor.