Российский хакер удержался от разорения Starbucks, а кофейня отплатила ему угрозами

Четверг, 21 мая 2015 г.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e

Специалист по безопасности аналитической фирмы Sakurity Егор Хомаков, проживающий в Сан-Франциско, нашёл способ обеспечить себе «пожизненный бесплатный кофе» в Starbucks через «взлом» подарочных карт. Об этом он рассказал на «Хабрахабре».



После покупки трёх подарочных карт Starbucks номиналом по 5 долларов каждая Хомаков прошёл в личный кабинет на сайте кофейни, чтобы пополнить свой баланс, и решил исследовать его на предмет уязвимостей класса «состояние гонки» (race condition).

Ошибки типа «состояния гонки» заключаются в особенности проектирования системы, в которой конечный результат её работы зависит от порядка выполнения запросов. Залогинившись в свой кабинет из двух разных браузеров, Хомаков использовал два ключа одновременных сессий для выполнения параллельных запросов на перевод одного доллара с одной карты на другую.

По словам специалиста по безопасности, первые пять попыток не увенчались успехом, однако на шестой раз ему удалось получить две карты номиналом 15 долларов и 5 долларов. Чтобы проверить, действительно ли «взлом» удался, он пошёл с этими картами в ближайший Starbucks, где при помощи них купил воды, жевачки, сэндвич с курицей и шоколад с карамелью на общую сумму в 16,7 доллара.

Worst bounty I had in years. But yeah, I hacked Starbucks pic.twitter.com/KuVNTFaaPU  — Egor Homakov (@homakov) March 23, 2015

Получив работающую схему, Хомаков не продолжил заниматься мошенничеством. По его словам, он тут же вернулся домой и пополнил свой баланс на 10 долларов, чтобы не оставаться в долгу на 1,7 доллара, которые он получил в результате исследования уязвимости.

Дальше хакер попытался связаться с администрацией Starbucks, чтобы сообщить о найденной уязвимости, однако в службе поддержки кофейни отказались ему помогать. Написав письмо на служебный адрес технической команды Starbucks 23 марта, Хомаков получил ответ лишь 29 апреля, а устранили уязвимость лишь спустя 10 дней.

Спасибо никто не сказал, зато был сделан недвусмысленный намёк, что я совершил «fraud» и «malicious actions» (мошенничество и действия со злым умыслом —TJ), и что они ещё подумают, что со мной сделать.

А что мог сделать я? Я мог запустить ферму из фейковых гифт-карт, купленных в разных магазинах мира, нагенерить на них кучу денег и продавать на специальных промо сайтах с 50% скидкой (чтобы не вызывать подозрения) за биткоины. Так, проработав год-другой, можно было бы высосать пару миллионов долларов из этой дружелюбной фирмы со сладким кофе. Егор Хомаков, специалист по безопасности Sakurity

Это не первый случай, когда Хомаков обнаружил уязвимость в информационной системе крупной компании. В декабре 2013 года он рассказал о возможности рассылки спама через личные сообщения в Твиттере при помощи сторонних приложений.

Нашли опечатку? Выделите фрагмент и отправьте нажатием Ctrl+Enter.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e


Просмотров: 471
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003