20:44
11/2/2016

Jeden z naszych czytelników, Paweł, podczas zakupów w brytyjskim Tesco postanowił skorzystać z kasy samoobsługowej, która poza brakiem możliwości samodzielnego zakupu alkoholu charakteryzuje się też stertą porzucanych przez klientów paragonów. Wśród tej sterty, nasz czytelnik znalazł jednak coś bardzo interesującego… Paragon operatora kasy.

Kod serwisowy operatora kasy samoobsługowej w Tesco

Kod serwisowy operatora kasy samoobsługowej w Tesco

Programowanie kas przez kody kreskowe

Zacznijmy od niezbędnej teorii. Prawie każdy wie, że sklepowe kasy są wyposażone w czytniki kodów kreskowych. Ale mało osób wie, że czytniki te to zwyczajne urządzenia wejścia, takie jak klawiatura. W uproszczeniu — odczytują one kod kreskowy (liczbę) i wprowadzają go (jak klawiatura) do domyślnego okna otwartego na sklepowym komputerze. Zazwyczaj jest to okno aplikacji do obsługi sprzedaży. Wprowadzanie odczytanej liczby czytnik zakańcza programowalnym kodem końca linii. Zazwyczaj jest to “enter”. Kod ten można jednak zmienić na inną kombinację klawiszy, np. na BACKSPACE lub CTRL+ALT+(strzałka_w_górę) — dlaczego ten? Bo to kod odwrócenia ekranu do góry nogami, rozpoznawalny przez większość kart graficznych Intela…

Jak zmienić kod? Wystarczy zeskanować czytnikiem odpowiedni “serwisowy” kod kreskowy, który wprowadzi go w tryb konfiguracji, a następnie zeskanować kod reprezentujący sekwencję końcową. Alfabet kodów jest dostępny w instrukcji obsługi czytnika (a ta w internecie).

Ten sam “trick” dotyczy wolnostojących czytników kodów kreskowych, jakie możecie znaleźć w sklepach takich jak IKEA, Leroy Merlin, Castorama. Na niektórych modelach da się np. zmienić treść wyświetlanego napisu powitania klienta.

Wolnostojący czytnik kodów w krakowskiej IKEI

Wolnostojący czytnik kodów w krakowskiej IKEI

Administracja kasą w Tesco

Oddajmy głos Pawłowi:

Poszedłem kupić sobie redbulla i korzystając z kasy samoobsługowej dostrzegłem w stercie paragonów (rzadko ktoś je zbiera) takie cudeńko [paragon z kodem operatora]. Po zaplaceniu za zakupy zeskanowalem kod – działa. Menu pozwala nawet na wyłączenie kas lub ograniczenie jej funkcji do np. akceptacji tylko płatności kartami.

Ponieważ w sklepie było mało osób i czytelnik nie chciał zwracać na siebie uwagi, obiecał nam, że następnego dnia wybierze się na zakupy w godzinach szczytu, aby wmieszać się w tłum. Dziś otrzymaliśmy fotografię ekranu pokazującego się po odczytaniu kodu operatorskiego:

tesco

Przy okazji, czytelnik sprawdził, czy kod działa w innym sklepie Tesco. Niestety — nie jest on uniwersalny, choć możliwe, że w drugiej z testowanych przez czytelnika lokalizacji po prostu nie ma operatora o takim ID.

Co można zrobić stając się administratorem kasy? Jak informuje Paweł:

Teraz mogę kupić sobie flaszkę bez dowodu [akceptacja transakcji wymagającej potwierdzenia operatora] lub położyć więcej towaru na wagę i zaautoryzowac nadwyżkę dwoma kliknięciami. (Kasy jak wiadomo ważą produkty aby nikt nie dołożył gratisów).

Nie są to groźne czynności. W menu serwisowym kasy nie ma przycisku “wypłać wpłaconą przez klientów gotówkę”.

Cóż, milionerem nie zostanę, ale przykozaczyc przy kolegach podczas zakupów w Tesco mogę — żartuje Paweł.

Następnym razem podczas zakupów w samoobsługowej kasie, rzućcie okiem na nieodebrane paragony. Może w polskich supermarketach także w użyciu są specjalne “operatorskie” paragony, wprowadząjace kasę w tryb serwisowy umożliwiający podgląd danych, które nie powinny być publicznie dostępne… kasy mają przecież poza raportami sprzedaży dostęp do imion i nazwisk klientów (odczytane z kart lojalnościowych lub płatniczych). Miejmy nadzieję, że nikt nie wpadł na pomysł udostępnienia programowego otwarcia kasetki z pieniędzmi…

P.S. Producentem kas jest firma NCR (którą możecie kojarzyć z opublikowanego przez nas kilka dni temu ostrzeżenia przed nowymi zewnętrznymi skimmerami montowanymi na bankomatach)

P.P.S. Używanie kodów kreskowych to w ogóle dość zgubna metoda ochrony czegokolwiek — por. Kradzież danych klientów Piotra i Pawła dzięki kodom kreskowym.


Przeczytaj także:

60 komentarzy

Dodaj komentarz
  1. To że takie kody nie są generowane co np. 24h jest śmieszne.

    • ale kto i kiedy miałby je na bieżąco generować … ? :D

      W sklepach innej znanej i dużej sieci w których pracują moi znajomi jest akurat tak, że jest jeden (słownie: jeden) informatyk na całe miasto (rejon) i to nie pracownik firmy X.Y. ale oczywiście, w ramach akcji optymalizacji kosztów ;), z tzw “firmy zewnetrznej” (pozdro dla rozwiązań ‘outsorcingowych’). Żeby interweniować w przypadku np. awarii jednego z komputerów kierownictwa sklepu (czy nadzoru kasowego ) na których przechowywane są naprawdę wazne dane dot. sprzedaży, RBH, bieżace dane finansowe raporty kasowe itp itd – ten informatyk musi podróżować sam przez miasto i często w takich przypadkach przyjeżdża na drugi (albo i trzeci) dzień. Poza tym ten informatyk też nie zna się do końca nawet na oprogramowaniu działającym w swojej firmie – a już w szczególności na systemie przechowywania dokumentów kasowych i sprzedazowych, bo nie raz już zdazyło sie tak, że aktualizując np. system (albo sprzatając dysk) – wyczyścił przy okazji pół roczne dane handlowe, których nie było nigdzie indziej mimo faktu posiadania czegoś takiego jak sieć korpo ….

      W sklepie (sklepach) tej firmy – ze swiecą mozna by szukac pracownia , którym posiadałby jakąs sensowną wiedzę n/t zabezpieczenia danych, backupu, ba nawet z osbługą tabelek w zwykłym excelu są czem niebotyczne problemy. A jesli już taki pracownik zostałby przypadkiem do pracy przyjęty to nie dopuszcza się go po prostu do komputera “żeby tylko czegoś nie zepsuł bo bedziemy tydzień czekac na naprawę”
      Hasła do komputerów (do kont pracowniczych) są często wymieniane między pracownikami (“bo twoje działa…”). Nie przylepia się ich na karteczkach do monitorów, bo po prostu tych karteczek samoprzylepnych nie ma :) a poza tym były szkolenia i praacownicy wiedzą że tak nie wolno.

      W kontekście powyższych realiów – nie najmniejszej przecież sieci hadnlowej – łatwo zrozumieć, że w wielkim supermarkiecie po prostu nie ma nikogo kto odważyłby się tknąć modyfikacji czeogś tak cennego i skomplikowanego jak kasa samoobsługowa i jej menu. A gdyby nawet się przypadkiem taka osoba (z odpowiednimi umiejetnosciami) znalazła , kierownictwo dopilnuje na pewno żeby niegdy dostepu do takiej kasy nie otrzymała :)

  2. W “moim” Tesco nigdy nie ma porzuconych paragonów. Wszystkie są na bieżąco zbierane.

    • Paragony sa zbierane, ponieważ wszyscy grają w Narodowej Loterii Paragonowej :-)

    • Tomek: — „Paragony sa zbierane, ponieważ wszyscy grają w Narodowej Loterii Paragonowej :-)”

      …Którą wygrała koleżanka minister finansów odpowiedzialnej za zorganizowanie loterii! :]

      („Historia wesoła, a ogromnie przez to smutna…”)

  3. Warto wiedzieć, że w Polsce przeklejenie kodu kreskowego z jednego towaru na drugi jest przez prawo znacznie surowiej traktowane niż kradzież (Art.286 § 1), mimo że strata sklepu jest niższa. Oszukiwanie kasy samoobsługowej może być podciągnięte pod to samo.

    • O ciekawe!
      Być może w tym przypadku zastosowanie ma (artykuł kk.)++

      “Art. 287. § 1. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych,podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

      § 2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

      § 3. Jeżeli oszustwo popełniono na szkodę osoby najbliższej, ściganie następuje na wniosek pokrzywdzonego.”

  4. Może nie we wszystkich sklepach, ale w Tesco w mojej okolicy, pracownicy, którzy “opiekują się” bezobsługowymi kasami mają kartę ze swoim kodem. Z reguły noszą na smyczy na szyi.

    • Jeśli to karta z kodem kreskowym, to wystarczy zdjęcie…

    • Oprócz kodu potrzeba jeszcze PINu

    • @Leniek, potwierdzam że potrzebny jest pin, jednak jeden z pracowników kilkukrotnie na moich oczach go wstukiwał, pin był jednocyfrowy: 9 ale nawet jeśli byłby 4 cyfrowy, łatwiej go “odczytać”, niż kod kreskowy ze smyczy.

      Poza tym podobną autoryzację posiadają zwykłe kasy. Pracownik, który siada do kasy skanuje kod kreskowy ze swojej smyczy, wpisuje pin i kasa się odblokowuje. W szczególności taki sposób autoryzacji upodobała sobie biedronka :)

    • Akurat w tesco pracuję,faktycznie kody obsługa samoobsługowych kas (jak to brzmi…) ma te kody na smyczy.Jutro albo w poniedziałek będę w pracy to sie pobawie w robienie zdjęć,albo podpytam ludzi od tego jak to działa ;)

      Pomijam fakt że cały system stoi na windowsie XP

    • “Pomijam fakt że cały system stoi na windowsie XP”

      A co w tym złego? A promy kosmiczne latały na 286.

    • Kasy na pewno nie stoją na XP, tylko na POSReady 2009 – jedyna wersja XP, która jeszcze dostaje aktualizacje. Inaczej byłoby już tam pełno wiruchów.

    • @Lukasz032: to się ekspert bezpieczeństwa wypowiedział :D

  5. śmieszna sprawa. dlaczego tego typu “identyfikatory” nie są zawieszone na szyjach operatorów? to na pewno LEPSZY sposób niż jakieś generowanie paragonów, czy coś

  6. Mieszkam tez w angli, uzywajac tych kas czesto mialem problemy. System drukowal logi z konsoli na paragonie. Informacje systemowe, etc. Chyba niedligo sie z nimi pobawie :)

  7. Te kody nie są zmieniane, bo zauważcie, jak pracownik autoryzuje swoje działania. Podchodzi ze swoją kartą i ją SKANUJE. Czyli kod jest stały, wystarczy wejść w jego posiadanie i magia się dzieje. 3 KG ziemniaków = 10 kg mięsa.

  8. W polskich Tesco tez sa takie kody operatorskie, nie raz Pani z obsługi skanowala go przy mnie jak bylo trzeba potwierdzic wiek czy cos poprawic w liscie zakupow.

  9. Co to znaczy “Niestety — nie jest on uniwersalny” w kontekście kodu operatora?

    Niebezpiecznik miał chyba na myśli “na szczęście”

  10. Meh… Wina durnia, który wyrzuca taki świstek do śmieci.

  11. Ja ostatnio drukowałem zdjęcia w fotokiosku Auchan – po zgraniu zdjęć drukuje się paragon, z którym trzeba iść do POK zapłacić, oni w zamian dają paragon z kodem, po zeskanowaniu którego rozpoczyna się drukowanie zdjęć. Ten kod to nic innego jak EAN13 z numerem zamówienia, który drukuje się na tym pierwotnym paragonie do opłaty. Można sobie wygenerować szybko na telefonie i drukować zdjęcia za darmo. Ogólnie chyba nigdzie nie przejmują się takimi problemami jak jakieś bezpieczeństwo kodów kreskowych.

    • Kiedyś bawiłem się fotokioskami mitsubishi, menu operatora jest dostępne w narożniku (chyba prawy górny) poprzez dwukrotne dotknięcie. domyślny login i hasło admindps lub dpsadmin. Powodzenia :)

    • Ja to rozumiem, to prosty rachunek zysków i strat: “czy opłaca nam się inwestować w bezpieczeństwo, skoro jedyne co nam grozi to to, że co najwyżej jeden na kilkaset tysięcy/milionów klientów zrobi sobie zdjęcia za darmo”. Podobnie działa dziurawy paywall wyborczej, który jednak nie przepuszcza 95% potencjalnych czytelników. I to wystarcza.
      Takie decyzje są podejmowane na porządku dziennym, nawet przez nas samych bez naszej większej świadomości. Sęk w tym, że bardzo łatwo nie doszacować kosztów związanych zaniechaniem bezpieczeństwa i się na tym przejechać. Ale jakieś fotokioski? Nawet zastanawianie się co można by z tym zrobić to strata kasy.

    • Jest jeszcze opcja, że możliwość drukowania zdjęć zostaje aktywowana dla danego zamówienia dopiero po uiszczeniu opłaty. Wcześniejsze zeskanowanie kodu w takim przypadku nic by nie dało. Może poza zgłoszeniem do systemu, w stylu ‘Halo, coś nie gra, zamówienie nieopłacone, a kod już zeskanowano!’. Ja bym to tak rozwiązał :D

    • Moim zdaniem wystarczyłoby zrobić jakiekolwiek zabezpieczenie, nie wymagające praktycznie żadnych dodatkowych narzędzi – choćby nawet pomnożyć numer zamówienia przez 17 albo podnieść go do kwadratu – wtedy ktoś by się musiał postarać, by znaleźć zależność, a nie zobaczył ją od razu. Jako że nikomu by się prawdopodobnie nie chciało tego aż tak analizować, bo jest to dosyć bezużyteczne, to zwiększenie bezpieczeństwa nie kosztowałoby nic, a byłoby skuteczne.

  12. Karta z kodem lub inny pierdolnik uzywany w tych kasach to nic innego jak numer i haslo operatora do zwyklej kasy, ktora uzywa tego samego systemu co kasy samoobslugowe. Wiecej info podam pozniej.

  13. Kod zawiera numer pracownika przyznawany na stałe oraz hasło, na jeden sklep. (dlatego nie jest uniwersalny). Drukuje się go właśnie na takiej kasie poleceniem… Wydrukuj kod operatora. 1xxx pracownik 6xxx lider zespołu kasjerów 8xxx kierownicy. Koledze z kodem polecam kody zniżkowe na wybrane produkty, z tym paskiem może je sobie wbić kilka razy. Np. dezodorant axe + kod na niego 30% taniej wbity kilka razy pozwoli mu go kupić za kilka groszy (znana praktyka na mniejszych sklepach, wśród pracowników).

    Kody 1xxx mają spore ograniczenia, np. wyłączysz kase, ale żeby ją uruchomić potrzeba już 6xxx. Operacje finansowe z tego co pamiętam mogą wykonywać 6xxx i 8xxx. Chociaż ich pole i tak jest ograniczone. Z ciekawszych, to chyba tylko to że można sobie wage skalibrować żeby zakupy były naprawdę promocyjne.

    Prawdziwa zabawa zaczyna się jak ktoś dorwie się do tego komputera przy którym zawsze stoi kasierka. Tam można naprzykład skasować całą baze danych kodów “wagowych” (i pewnie innych też), zmienić zdjęcie banana na.. Co się tam komu podoba, itp.

    Z life hacków na tych kasach polecam, podmiane towaru. Tylko trzeba dokładnie zważyć. Tyle że musi być tłum, żeby zmeczona.. kasierka miałą w@#$%#ne co się tam dzieje.

    • Mam nadzieję,że kamery sklepowe skierowane na kasy samoobsługowe filmują Cię za każdym razem.Pewnego dnia bardzo się zdziwisz i zaśpiewasz cieniutko na policji.

    • Retencja danych przez rejestratory nie jest nieograniczona, każde urządzenie ma swoją pojemność i najstarsze nagrania są nadpisywane :)

  14. A no i zapomniałem najważniejsze, można sobie akceptować niezgodność wagi. :p Ale to się wyświetla na głównym kompie.

  15. Ja w tesco(a może to był Carrefour?) w swoim mieście widziałem, że panie logują się pastylkami 1Wire o takimi – https://pl.wikipedia.org/wiki/IButton
    To już chyba trudniej złamać nie? ;)

    • Trudniej, bo najpierw musisz takiego iButtona odczytać by poznać jego numer seryjny i ewentualnie zawartość pamięci. Potem starczy jakiś mikroklocek zaprogramować i masz klona. Albo zrobić można przyrząd do klonowania tych pastylek Dallas…

  16. W takim razie wystarczy zrobić zdjęcie kasjerowi z jego ID wygenerować sobie jego kod kreskowy na telefonie, zeskanować przez kasę i “zrobić sobie promocję” np. 2 butelki w cenie 1 :D

  17. Nie wiem jak w Tesco ale w takim Auchanie wyciągnięcie pieniędzy wymaga wydania kasie takiego polecenia przez kogoś z zaplecza.

  18. Witam

    Dla osób które zainteresowane są techniczna strona czytników kodów jak tez w ogule tematyką związaną z akwizycja towarów podaję adres zasobów FTP amerykańskiego dystrybutora takowych urządzeń. Jest to prawdziwa kopalnia wiedzy. ftp://www.scansourcela.us Adres ten może być rowniez pomocny dla administratorów informatycznych sieci sklepowych którzy mają nieodparte pragnienie zagłębienia się w meandry techniczne takich urządzeń.

  19. W Auchanie są.

  20. Logując się tym kodem bez problemu można zmienić cenę danego produktu – price override jest tam w opcjach. Pracownicy sklepu mi tak robią jak wyskakuje mi inna cena niż była na półce. Ale z drugiej strony, system przecież wie kto i kiedy skorzystał z danej karty/kodu pracownika i dodatkowo strefa kas samoobsługowych przecież jest zawalona kamerami cctv.

  21. “Producentem kas jest firma NCR” z Republiki Nowej Kalifornii zapewne :D

    Kasę w tesco można odblokować kodem wprowadzanym z klawiaturki albo kreskowym.

    Ciekawi mnie czy jakby zakodować w kreskowym kombinację klawiszy (zależnie od systemu) np CTRL+SHIFT+ESC albo CTRL+ALT+F1 to czy odpali to co chcemy? ;>

  22. Pracuję w firmie, która pisze oprogramowanie na takie kasy. Jakbyście mieli pytania to moge odpowiedzieć. Powiem wam, że problem nie tkwi w czytniku. ;)

    • To powiedz więcej. W czym tkwi problem?

  23. W moim tesco cały czas pracownik patrzy klientów co robią więc nie wiele się zdziała. Przecież wszystkie rzeczy które sa na wagę można byłoby kupić taniej.

    • normalnie nie da się… skanując na wagę kod kreskowy masz przecież cenę do wagi, jeśli nie zgadza się waga co do ceny musi podejść pracownik

  24. A zupełnie nie dawno pisaliście o tym jak rożnie nasze sądy interpretują KK odnośnie hakerstwa ;)

    Panie sędzio, ja tylko zeskanował paragon…
    ;)

  25. Z tego co wiem, z przodu kas w polskim tesco (niedaleko ekranu) jest przycisk serwisowy. Po kliknięciu go i zeskanowaniu kodu wchodzi się w menu zarządzania konkretną kasą bezobsługową. Między innymi można modyfikować tam system, a nawet zatwierdzać zakupy bez płatności :)

  26. Większość obsługi przy tych kasach nosi te kody kreskowe na zawieszce, więc wystarczy zrobić zdjęcie i wydrukować sobie taki kod na drukarce.

  27. Niektórzy piszą że pracują w Tesco itp ale niewiele wiedza co i jak na tych kasach samoobsługowych…
    Po pierwsze kod operatora nie jest uniwersalny i kod z jednego sklepu nie koniecznie będzie działał w innym…. kody przypisane są do operatora(login kasowy) i nie potrzeba wpisywania pinu przy jego skanowaniu.. ale jak kasjer zmieni hasło do to kod przestanie działać..
    2) Z tego “komputerka”(Rapstation) przy którym stoi kasjerka, tyle co można to anulować paragon, zatwierdzić wiek przy zakupie alkoholu i papierosów, anulować towar jak i cały paragon. Ale i tu kasjerka musi być zalogowana inaczej nic nie da rady zrobić.
    3) wypłacić z kas samoobsługowych pieniądze się da ale jak pisał inny kolega wyżej trzeba mieć inny login do kasy.
    A co do tego że ktoś z klientów tak zacznie się logować to tylko i wyłącznie wina kasjerek, które nie orientują się co się dzieje. Powinni tam stawiać osoby które są dynamiczne, widzą co się dzieje a nie ciemną masę która nie wie co jest grane jak na kasie wyświetli się jakiś komunikat(po polsku) to zaczyna się zastanawiać przez 5 minut co jest grane i co zrobić. Mnie samego to denerwuje jak robię zakupy na kasach samoobsługowych w Tesco a kasjerka taka przymulona.

  28. 1. Barcode to strumień znaków nie kombinacja klawiszy, tak więc pisanie o CTRL+ALT+(strzałka_w_górę) czy CTRL+ALT+DEL to mrzonki (chyba, że napiszemy dodatkowy soft)
    2. CTRL+ALT+(strzałka_w_górę) akurat przywraca oryginalny stan ekranu. CTRL+ALT+(strzałka_w_dół) obraca ekran “do góry nogami”
    3. “Ale mało osób wie, że czytniki te to zwyczajne urządzenia wejścia, takie jak klawiatura”, a właśnie że nie. Po prostu wysyłają strumień z czytnika tam gdzie mamy ustawiony focus.
    4. Po odpowiednim skonfigurowaniu systemu, doinstalowaniu softu i wykonaniu kilku czynności możliwym jest by system zareagował na Code 39 (ext) *.W.J.P* tak jak na sekwencję klawiszy CTRL+ALT+(strzałka_w_dół) jednak jest to celowy “feature”. Mowa wtedy o kodach sterujących i tego w Tesko, punkcie poboru opłat czy na poczcie nie uświadczycie.
    Ave

    • Witam

      No prosze tylko zapoznac sie z instrukcjami serwisowymi firmy Motorola lub Datalogic sa tam wprost wydrukowane kody wprowadzajace dane urzadzenie np w tryb klawiatory lub zmieniajacy parametry. Szanowny kolega na przyszlosc raczy sie zapoznac z tematem a nie wyglaszac autorytatywne sady.

    • Tylko, że na przykład w Metrologicu kody sterujące przyjmowane są wyłącznie wtedy, gdy zostaną użyte jako pierwsze po włączeniu skanera do prądu.

  29. Ja kiedyś płaciłam za zakupy w kasie samoobsługowej w Tesco drobnymi 1gr, 2gr, 5gr (bo chciałam się pozbyć bez marnowania czasu kasjerki na zwykłej kasie, a tego było naprawdę dużo), zakupy za ok. 25zł. Jak już wszystko wrzuciłam, to kasa się zbuntowała i wypluła całą kwotę w banknocie i grubszych drobnych (to było najlepsze), po czym musiałam zakupy kasować ponownie. Dobrze, że kasjerka miała wywalone i mnie nie pogoniła :D.

  30. A to tylko dlatego że drukarka fiskalna po 20 minutach anululowala paragon i to jest niezależne od oprogramowania czy to w Tesco czy innych sklepach to już tak jest zaprogramowane w drukarce.

    • Nie tyle zaprogramowane w drukarce, co sprecyzowane rozporządzeniem MG w sprawie kryteriów i warunków technicznych, którym muszą odpowiadać kasy rejestrujące.

  31. Te kasy mają mają (z pomocą kodu operatora) ciekawy – z punktu widzenia cfaniaka – tryb nienadzorowanego dostępu. Po jego uruchomieniu zapala się czerwona obwódka wokół ekranu, a kasa pozwala prawie na wszystko. Nie jestem pewien czy 1xxx mają do tego akces. 6xxx napewno

  32. No wstyd.
    “Bo to kod odwrócenia ekranu do góry nogami, rozpoznawalny przez większość kart graficznych Intela… “

  33. Drogi Niebezpieczniku,

    Piszę do Was w związku z hucznie zatytuowanym artykułem o “hackowaniu” kas w Tesco w Anglii. Jako człowieka dość mocno zagłębionego w temat poczułem się co najmniej dziwnie (zresztą moi koledzy również) czytając ten artykuł. Niestety począwszy od tytułu, jak z tabloidu po większość artykułu poczuliśmy się nim lekko… wzburzeni. Więc… kilka słów wyjaśnienia.
    1. Wielkie „hackowanie” polegało na gigantycznym błędzie operatora kasy (bo jak się domyślacie każda kasa rejestruje sprzedaż kasjera). Kasjer, mimo że nie powinien, dla ułatwienia wydrukował sobie kod. Jak wiecie z Waszych artykułów, większość problemów z bezpieczeństwem systemów IT powodują ludzie. Tak jest też w tym wypadku.
    2. Co mógł zrobić Paweł? W sumie niewiele. Jakieś podstawowe czynności związane z obsługą kasy takie jakie ma zwykły kasjer. Nazwać to „administracją” jak dla mnie jest trochę… zbyt wyolbrzymionym słowem.
    3. Najbardziej zastanowił nas wniosek w artykule, iż można wygenerować sobie dowolny kod, bo skaner działa jako I/O Device (typu klawiatura). Niestety, zasmucę  Nie zagłębiając się w szczegóły – nie działa jako klawiatura. Generalnie jakkolwiek wykorzystać ten skaner jakkolwiek, poza aplikacją czy choćby w miejscach do tego nie przeznaczonych jest trudne.

  34. Jestem pracownikiem Tesco w UK i po przeczytaniu paru komentarzy jestem w szoku… Ludzie wy chcecie okradać!! Oszukiwać… Nie dziwne ze zawsze na Polaków się patrzą z “byka” jak tu jakiś koleś wpada i chce oszukać na wadze!!! Szok!
    A atak dla informacji to niech się ktoś nie ludzi ze tzw bar codem sobie pieniądze wyciągnie… Poprostu się nieda… Tylko można to zrobić manualnie czyli potrzeba dwóch kluczy… Ale nie będę już wtajemniczał…. Czyli ktoś kto coś tam mamroczyl o kodach 1XXX, 6XXX czy 8XXX, jest w błędzie… Dodam jeszcze ze rownież w rzeczywistości pierwsza nie ma znaczenia w obsłudze takiej kasy bo wszystko tak naprawdę zależy jakie opcje ma dany nr powłączane… wiec nawet operator z numerem zaczynającym się na 1XXX może mieć skonfigorowane ustawienia tak samo jak ktoś z numerem na początku np 6XXX. Dodam tez ze taki kod jest ważny około miesiąca choć można to tez zmienić… Aha… u mnie w Tesco taka akcja by nie przeszła ze ktoś sobie wchodzi w menu na samoobsłudze bo przeważnie monitor jest obserwowany a widać na nim czy ktoś się loguje i po co… chyba ze pilnuje tego ktoś rozgarnięty!! Druga sprawa to to ze na papierosy nie mam potwierdzenia wieku na self scan’ie. Pozdrawiam….

  35. Jak obiecałem,tak się dowiedziałem.
    Otóż,oczywiście w Polsce również mamy takie kody.
    W tesco w którym pracuję pracownicy są chyba jednak trochę przeszkoleni (LOL).
    1. “Kod kreskowy” jest zabezpieczony przez hasło,które w każdym momencie [np. po zgubieniu] można zmienić w systemie.
    2. Gdybym miał google glass,wczoraj mógłbym wykonać zdjęcia 3 takich kart ;)
    3. Hasło zmienia się w komputerze który jest na sklepie [jakiś DELL],komputer wyposażony jest w system operacyjny Windows XP,jednak żeby z niego korzystać trzeba wpisać nazwę użytkownika oraz hasło – jednak to nie jest skomplikowane,wszystkie te dane w “moim” tesco są napisane na kartce oraz doczepione do tablicy powyżej monitora (hehe)
    4.Wszystkie komputery w TESCO mają wewnętrzne połączenie które pozwala np. Podejrzeć obraz z ekranu innego komputera w sklepie.
    5. Główny serwer stoi gdzieś przy ochronie,ogólnie ciężko się tam dostać ponieważ gdzieś obok jest “skarbiec”

  36. polecam zerkniecie na sposob generoania kodow przecen w tesco. mam na mysli kody typu 971 – EAN produktu – cyferka przypadkowa – cena ;) – 0 – suma kontrolna. mozna sobie policzyc samamu i generowac przeceny za pensa/centa/grosz samamu, wklepujac w kase samoobslugowa kod jako nieczytelny, albo wydrukowac sobie wczesniej stosowne podkladki i w czasie zakupow skanowac wlasne kody. placimy ile chcemu a na paragonie nawet nazwy produktow sie zgadzaja :)

    • Jasne, bardzo to piękne, na pewno złodzieje się połaszą i będą dumni ze swojej kradzieży, wszak inaczej tego nie można nazwać jak zwykłym złodziejstwem. Można sobie tłumaczyć, że to Tesco, że korpo, że monopol i banksterzy, ale koniec końców okrada się zwykłych ludzi, którzy tam pracują (bo wiadomo, że właściciele sobie odbiją straty właśnie kosztem całej reszty).

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: