19:47
23/1/2023

W weekend kilku Czytelników dało nam znać o tym, że można sobie dowolnie podbić saldo punktów w aplikacji Żabki. Sposób na nieautoryzowane doładowanie żappsów, bo tak nazywają się te punkty, które w sklepach można wymieniać na produkty, był prosty. Wystarczyło wysłać żądanie do API:

Oto treść żądania, jaką można znaleźć w sieci:

token = "eyJhb(...)"

r = requests.post("https://zabka-snrs.zabka.pl/v4/events/custom", json={
"action": "points.upcharge",
"label": "label",
"client": {
"email": "e-mail_wlasciciela_konta"
},
"params": {
"displaySubheader": "x,
"description": "x",
"displayHeader": "x",
"points": "666"
}
}, headers={
"authorization": token,
"api-version": "4.4",
"Content-Type": "application/json"
})

Metoda points.upcharge zdradza, że jest to API Synerise. Zazwyczaj, żeby takie żądania przeszły, konieczna jest znajomość tokena z odpowiednimi uprawnieniami, choć nie zawsze — por. Fatalna wpadka Plusa, można było pobrać dane klientów przez API

Nie wiadomo kto zaczął, ale jak już się zaczęło…

Nie jest jasne, kto jako pierwszy wykorzystał to żądanie do nabijania żappsów i jak ta osoba ustaliła treść odpowiedniego żądania, w tym wartość tokena pozwalającego na nielimitowane zwiększanie salda punktów. Może udało się jej uzyskać dostęp do środowiska testowego lub konta, które miało odpowiednio wysokie uprawnienia? A może nie…

Tu należy dodać, że w naszym redakcyjnym Archiwum X znajduje się ciekawy incydent, który dotyczył m.in. pracowników Żabki z grudnia 2022 roku. W wyniku tego zdarzenia niepowołane osoby mogły zapoznać się z hasłami pracowników do różnych kont. Nie wiemy jednak, czy wydarzenia z tego weekendu są następstwem grudniowego incydentu. Jeśli kiedyś uda nam się wyjaśnić tamtą sprawę, zaktualizujemy ten artykuł.

Jak twierdzi kolejny z naszych Czytelników, który dogłębnie analizował to zdarzenie, do nabicia punktów wystarczyło użyć dowolnego tokenu, nawet ze swojej aplikacji, bo po prostu metoda points.upcharge miała w ogóle nie weryfikować kto i kiedy może ją wywołać. Brak ograniczeń w wywołaniach tak kluczowych metod byłby poważnym przeoczeniem osób, które były odpowiedzialne za implementację lub testy tego API po stronie Żabki.

Ponieważ aktualnie API Żabki nie pozwala na zabawy tą metodą, to testów tego jak działała metoda points.upcharge nie jesteśmy w stanie wykonać. Czy faktycznie tu leżał problem? Nie wiemy, przesłaliśmy do Żabki pytania i czekamy na odpowiedzi. Kiedy nadejdą, opublikujemy je w aktualizacji.

“Popatrzcie na ile okradłem Żabkę!”

Tak czy inaczej, w weekend, niestety, nieautoryzowane użycie API do nabijania punktów, niezależnie od powodu, było możliwe. I wielu internautów chwaliło się na różnych grupach w różnych serwisach zwiększonym saldem:

a niektórzy pokazywali nawet bagażniki pełne zakupów, których mieli rzekomo dokonać za “lewe” żappsy:

Jeśli myślicie, że to ryzykowna gra, to dobrze myślicie. Korzystanie z API zostawia trochę śladów, konto w aplikacji jest przypisane do użytkownika, a dodatkowo w sklepach są kamery…

“Zatrzymano Filipa”

Biorąc pod uwagę to, że token który widzieliśmy po zdekodowaniu zawiera sporo identyfikatorów i informacji na temat okoliczności jego wygenerowania, ustalenie skąd (od kogo) pochodzą tokeny wykorzystane do nabijania punktów powinno być proste. Ustalenie tych, którzy z nich skorzystali też. Żabka zresztą chyba przygotowuje się już do kontraataku, bo już blokuje niektórym konta z tego powodu:

Nie dziwi więc to, że jak poinformował nas kolejny z Czytelników, dziś rano policja miała wkroczyć do domu jednego z internautów, który w weekend publicznie opisał metodę doładowywania żappsów. Nie udało nam się jeszcze potwierdzić tej informacji w dodatkowych źródłach, ale biorąc pod uwagę naturę i sposób exploitacji, tak szybka akcja wcale nas nie dziwi.

Nabiłem sobie lewe żappsy — co robić, jak żyć?

Jeśli ktoś z Was nabijał sobie przez weekend żappsy i postanowił je “wymienić” na towary, a w dodatku chwalił się tym w sieci publicznie, to wcale nie współczujemy bezsenności, która będzie Wam teraz towarzyszyć i stresu na dźwięk każdego dzwonka do drzwi. Na pocieszenie dodamy, że jeśli nie byliście wcześniej karani, to jest spora szansa, że skończy się na wyroku w zawieszeniu.

W tej sytuacji, tłumaczenie w stylu hakera Edisona nie pomoże. Dlatego jeszcze raz przypominamy, że jeśli kiedyś znajdziecie jakiś błąd w systemach jakieś firmy sami lub z cudzego błędu będziecie chcieli skorzystać aby się wzbogacić, to lepiej przed naciśnięciem entera, napiszcie do nas. Nawet jeśli firma nie ma bug bounty, pomożemy Wam w zgłoszeniu błędu tak, aby i Wy i firma miło to wspominali. A przede wszystkim, aby nikt nie został zatrzymany za “nieautoryzowane testy penetracyjne”…

Aktualizacja 24.01.2023, godz. 22:00
Dziś wieczorem dotarła do nas odpowiedź Żabki — cytujemy ją w całości poniżej:

Potwierdzamy, że w ostatnich dniach odnotowaliśmy przypadki doładowywania żappsami w nieuprawniony sposób wybranych kont użytkowników Żappki. W reakcji na naruszenia, zgodnie z regulaminem aplikacji oraz obowiązującymi procedurami, dokonaliśmy blokady kont, na których doszło do niedozwolonych aktywności. Zablokowani użytkownicy zostali poinformowani o tym fakcie. Powstały incydent spowodowany był błędem ludzkim i nie wynikał z zastosowanych przez nas platform technologicznych. W związku z zaistniałą sytuacją rozpoczęliśmy już proces zbierania materiału dowodowego, który przekażemy do organów ścigania.

A więc, cytowany przez nas Czytelnik miał rację — incydent był możliwy ponieważ ktoś niepoprawnie skonfigurował system, pozwalając na zbyt szerokie działanie metody points.upcharge. Wersję Żabki potwierdza też opinia osoby, która doskonale zna API Synerise, czyli to z którego korzysta Żabka, ale także inne firmy. Samo API pozwala na takie obsłużenie tej metody, aby nieautoryzowane nabijanie punktów nie było możliwe. Ale, jak widać na przykładzie Żabki, można je błędnie zaimplementować i pojawia się problem.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

58 komentarzy

Dodaj komentarz
  1. Jeżeli firmy nie mają bug bounty to słabo o nich świadczy.

    • Domagalem się ale oni nie chcieli to się nie dziwie się

    • Filip z Miauczyńskich? “Się … się” ;-)

    • ale po co bugbounty? jest prokuratura i to wystarczy dla nich

    • Patrząc na takie błędy to całkiem dużo można by było zarobić na takim targecie

  2. Zostaną pewnie poniesione poważne konsekwencje – blokada konta w aplikacji żabki.

  3. Pan Filip ma teraz Przypps

    • Nie mam !

  4. Nic nie zrobia ludziom co se te zappsy dobijali, za duzo ich bylo. Watpie ze bedzie im sie chcialo scigac kazdego gimbusa

    • Pewnie złapią kilku takich co skorzystali na tym najwięcej

    • Jeżeli nabili ponad 400 zł na zakupach, to już mamy przestępstwo i wystarczy przekazać dane do prokuratury. Się gimbohakiery zdziwią, jak policja zapuka do drzwi im lub członkom rodziny.

    • @crank nie 400 a 525 zł, a wielmożnie nam panująca władza, chce ten próg jeszcze podnieść, także raczej jeśli ktoś faktycznie całego bagaznika zakupami z płaza nie napchał to raczej włos mu z głowy nie spadnie…

    • @crank Gimboprawniku, oszustwo liczy się już od najmniejszej kwoty.

  5. PRZECIEZ WSZYSCY WIEDZA ZE TO ZROBIL ALEKSANDER A NIE FILIP

    • to ja bylem serio

    • Wiadomo że Olek. Gość był Wielki

    • Olek monster

  6. Hej, czy możecie podać link do artykułu o którym mowa w powyższym tekście z grudnia 2022 z archiwum x?

    • To, że sprawa jest w archiwum x oznacza, że raczej tego artykułu nie napisali(chociaż czasami pojawiały się teksty o “tajemniczych zjawiskach”)

  7. Limes inferior Janusza Zajdla,
    Lektura obowiązkowa.

    • Tamte punkty miały inne znaczenie. Mniej więcej to samo dzieje się w Chinach gdzie władza przyznaje i odbiera punkty za różne działania. Ciekawe czy mają tam lifterów…

    • Jeśli dobrze pamiętam, to tam właśnie chodziło o to, żeby punktów mieć jak najmniej :)

    • @Voitcus: źle pamiętasz.

  8. Sprzedam Zappsy i exploita na unbana [Akceptuje middleman]
    DISCORD: nexus#0099

    • Który serwer wariacie?

  9. Ciekawe ilu gimnazjalistów to zdążyło wykorzystać do swoich celów. Ile plecaków chipsów i monsterków nakupowali :)

  10. “jakiejś”

  11. w sumie przejebane ;D bezpodstawne wzbogacenie sie + oszustwo, wyrok mozna dostac bez zawiasow nawet :P

  12. Tak ja było z tym tokenem autoryzacji – wystarczył dowolny, nawet ten aplikacji, czy jednak był jakiś spreparowany i wszyscy nabijali sobie nim żappsy?

    • dowolny

  13. Nosiła żabka razy kilka, ponieśli i żabilka…;)

  14. mogę odbanować i dać żapsy
    discord; existe#1000

    • Spieprzaj zlodzieju.

    • Leszek – nie “spieprzaj zlodzieju” tylko cytuj poprawinie “spieprzaj dziadu” ;)

  15. No… tak wygląda życie… xD
    Gdybym zostawił otwarte autoczy dom, to i tak bym się wk*ił gdyby mnie ktoś okradł.
    Ten ktoś jest złodziejem i miałby prz*ne mimo, że dom był otwarty.
    Takie ten… głośne, oczywiste przemyślenia ;)

    Ale z drugiej strony… taka jedna zdobyczna butelka coli… xD jako pstryczek w nos… trochę kusi :)
    No ale… złodziejem zostaje się “chyba” niezależnie od ilości zajumanego towaru ;)
    Przywłaszczenie, to przywłaszczenie :)

    • Kradzież z włamaniem jest dużo poważniejsza.

  16. Jak coś to policja (prokurator) może teraz pojechać modnym artykułem o oszustwie zamiast kradzieży, tam nie ma limitu.

    • Ale jak to, oszukać można tylko człowieka #pdk

  17. No to jeżeli jesteś z krajów wschodnich gdzie trwa wojna i nabiłeś sobie miliony cebulionów to raczej nie masz się czego obawiać? prawda?

  18. Czy za te “zappsy” można kupić granatnik przeciwpancerny? albo samochód w którym można przewozić dwie nastolatki, uderzyć samochodem w drzewo i powiedzieć nastolatkom “wypier…ć”?

    • niestety nie oferują w żabce ani głośnika z funkcją granatnika ani samochodów. i co najbardziej smucie, nie ma również podnośnika do zerkania sąsiadom w okno

  19. […] tzw. żappsy, czyli punkty lojalnościowe, za które następnie robili zakupy – donosi serwis niebezpiecznik.pl. Pierwsi nieuczciwi klienci zostali […]

  20. Ten, który to ujawnił ten sposób już siedzi. Jest obława na wszystkich, którzy skorzystali z tego lub ujawniają jak to zrobić. Żabka to oczko w głowie obecnej władzy i podziwiam waszą odwagę, że publikujecie takie rzeczy

    • Ja to zrobilem i jakoz nie siedze xddd cope

  21. A tak propo tłumaczenia Edisona. Wiadomo co u niego? Jak się sprawa dalej toczy/potoczyła?

  22. Serio ktoś sobie nabijał żappsy bez vpna i na swoje konto? xDDDD A gość to ujawnił w necie ze swojego ip? xDDDDD Ludzie, tam po 2-3k pln mozna było zakupy zrobić bez ryzyka, tylko trzeba było pomyśleć przez 10 sekund. Oni powinni iść siedzieć nie za kradzież tylko za debilizm.

  23. UUU widzę że moderacja na niebezpieczniku usuwa co niewygodne komentarze. Okey, nikt nie mówił że będzie wam łatwo

  24. Wiadomo kapitaliści beda się wzajemnie całować się po tyłkach Tak jak ta strona z zabka Wielkie ajwaj ze ktoś okradł złodziejska zabke Jak zabka okrada klientów z zabsow za nic i nabiera im nawet kilkadziesiąt punktów to w porządku Albo okrada franczyzobiorców i zadłużenia ich na parę tysięcy to wam nie przeszkadza Ale jak klienic odgryza się molochowi to już zle

  25. Akcjonariuszem żaby jest pewien kawaler znany “ojciec” z Torunia a on nie pozwoli się skubać

    • no wlasnie – bo jakas szybka reakcja *ilicji miala miejsce – widac zalezy kto zglasza haha

  26. Tak to prawda – zalezy kto zglasza przestepstwo. W przypadku zabki piruszenie bo tzw ohciec z Torunua ( z ryjka taki dziamdziak( suedzi kaputaliwo w Zabce..dodam ze ojciec ten na kontakty z ruskimi.a PUS wiadomo ze raczki xaluje temu agentowi rosyjskiemu..

    .Na marginesie – zabka reklamuje swoja kawe z autonatu. Piliscie ja? Szajs jak ch.. uj. Wstyd

  27. gdy panstwo cie omrada, cisza.. gdy kosciol okrada panstwo, cisza… gdy nabijasz wirtualne punkty, kara smierci xD

  28. Nie mogą udowodnić, że to ja doładowałem konto. Jak jakiś błąd wykryjecie to zawsze z niego warto skorzystać.

  29. najbardziej przykre jest to że będą scigać ludzi zamiast dowalić porządna karę finansowa żabce. co jak co ale ludzi powinno się w tym momencie tylko ostrzec i ZOSTAWIĆ W SPOKOJU. a żabce dowalić ze dwa miliony kary

  30. Jeszcze policja do mnie nie pukała, ale się tego obawiam,
    Użyłem zaufanego darmowego vpn, który nie zbiera logów i 10m maila do założenia konta i od razu po zakupie wylogowałem się, i usunąłem aplikację.

    Dodam, że miałem maseczkę i kaptur, bo przecież nie chcę się koroną zarazić (;

    Czy jest to możliwe, że aplikacja bez mojej wiedzy mogła zebrać jakieś dane o urządzeniu, które pomogą mnie namierzyć? Jak emei, numer telefonu, czy inne

    Miałem wcześniej zalogowane moje prawdziwe konto, z prawdziwymi danymi i bez vpn, i przed zmianą konta wyczyściłem wszystkie dane aplikacji i dopiero wtedy zalogowałem się na fake konto.

  31. Żabka powinna pomyśleć o bug bounty XD

  32. Czyli hipotetycznie jak teraz bedzie blad i aplikacja nie naliczy naleznych zappsonow, to trzeba zebrac material dowodowy i udac sie do organow scigania :)
    Mam nadzieje, ze organy dzialaja w dwie strony z rownym zapalem i zaangazowaniem.

    BTW
    to ciekawe, czy dalo sie odjac punkty :D

  33. Nie nazwalbym tego dziura. Wyplynal klucz API. A to juz znacznie powazniejsza sprawa, niz nawet krytyczne bugi. Ktos za tym stal.

Odpowiadasz na komentarz Kamil Wodorost

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: