كما اكتشفت بالصدفة إمكانية تجديد لا نهاية لها لحساب مع مشغل الهاتف المحمول الأمريكي

من أجل منع سوء الاستخدام ، أنا لا تشير إلى اسم المشغل.

بدأ كل شيء بحقيقة أنني اشتريت عند الوصول بطاقة SIM للمشغل مع خطة التعريفة الدفع الفوري. هذه هي خطة التعريفة الأكثر شيوعًا التي كانت شائعة في روسيا قبل ظهور خطط تعرفة الحزمة ، أي أنك تدفع مقابل كل دقيقة ، رسالة ، ميغابايت ، بينما لديك رصيد يحتاج إلى التجديد.

في كل مكان كان لدي اتصال Wi-Fi ، كان الاتصال الخلوي ضروريًا للمكالمات الواردة والوصول النادر إلى الإنترنت عبر الهاتف المحمول. ومع ذلك ، فإن المشكلة مع المشغلين الأمريكيين هي أن رصيد حسابك قد ينتهي ببساطة. ثم انتهت صلاحيتها بعد 30 يومًا ، أي أن الأموال الموجودة في الحساب قد نضوب ببساطة. يمكن نقله بالكامل إلى الشهر التالي ، ولكن من الضروري إجراء بعض تجديد الحساب على الأقل. قررت جعل الحد الأدنى من التغذية للبقاء على اتصال.

لقد قمت بتسجيل الدخول إلى الحساب على موقع الويب الخاص بالمشغل وحاولت إجراء إيداع من بطاقة بنكية. على عكس روسيا ، لا يمكن إدخال المبلغ هنا. لقد عرضت علي اختيار مبالغ قليلة فقط ، والحد الأدنى هو 5 دولارات. لم أكن بحاجة إلى الكثير ، لكني دفعت هذا المال كل شهر للبقاء على اتصال. نتيجة لذلك ، بعد بضعة أشهر ، "عديمة الفائدة" عدة عشرات من الدولارات المتراكمة على الحساب مع عدم وجود فرصة لإنفاقها على الإطلاق.

مرت بطريقة أو بأخرى من قبل منفذ المشغل في أحد مراكز التسوق ، رأيت بطاقات شحن عادية (بطاقات خدش). كانت من نفس الطوائف كما عرضت للدفع على الموقع. ولكن على ما يبدو بسبب شغفي البديهي بالتجارب ، قررت شراء هذه البطاقة ، مرة أخرى مقابل 5 دولارات. عندما حان وقت الدفع ، بدأت أفكر في البطاقة. يبدو نفس المبدأ كما في روسيا (عندما كانت هذه البطاقات لا تزال شائعة): يمكنك ببساطة طلب أمر برقم البطاقة وتنشيطه ، أو يمكنك "التجول" في قائمة USSD (فرق من الفئة * XXX #). مرة أخرى ، بسبب بعض الرغبة في التجربة ، قررت اختيار طريق طويل من القائمة. من بين الخيارات التي تم اقتراحها لمعرفة الرصيد ، وتفعيل بطاقة الصفر ، وتجديد الحساب ببطاقة بنكية.

في روسيا ، تعاملت دائمًا بطريقة ما فقط مع إدخال بيانات البطاقة عبر الإنترنت ، لذلك كان الدفع ببطاقة من خلال هذه القائمة أمرًا مثيرًا لي (بعد كل شيء ، كانت هذه المدفوعات موضوع شهادتي) ، على الرغم من أنها لم تكن آمنة (مرة أخرى في روسيا ، عادةً يمكن العثور عليها في نافذة منفصلة للبنك المستحوذ ، ولكن لا يتم نقلها إلى البائع في واضحة) ، قررت المحاولة. وفوجئت على الفور بعرض إدخال المبلغ. أي أنهم لم يقدموا لي الاختيار القياسي للمبالغ ، كما هو الحال في أي مكان آخر ، لكنهم اقترحوا إدخال المبلغ. لقد اخترت $ 1 ، وأدخلت تفاصيل البطاقة في الخطوات التالية وتمرير الدفع. كما قد تخمين ، ثم حاولت إدخال 0.01 دولار ، مرت أيضا.

يمكن للمرء أن يكون سعيدًا لأنني لم أعد بحاجة إلى تحويل 5 دولارات دون فائدة إلى كل شهر إلى رصيدي ، لكني أنفق 1 سنت فقط وأكمل التجربة. ولكن بعد بضع ساعات ، أردت أن أنظر مرة أخرى إلى الحساب على موقع المشغل وخيارات التجديد.

هكذا. عرض علي ملء نموذج مع تفاصيل البطاقة والمبلغ وما إلى ذلك. أنا أتتبع كيف يبدو طلب POST هذا مع تقديم النموذج. أنا نسخ ولصق في ساعي البريد ، في محاولة لتكرار الطلب. يستجيب الخادم مع وجود خطأ ، يبدو أن بعض الرموز المميزة في النموذج تنفد.

قررت أن أذهب إلى الطريق البسيط. لقد عرضت اختيار المبلغ من القائمة المنسدلة. بالطبع هذا نوع من select مع قائمة option .

 <select class="selectpicker select form-control show-tick text field" title="Specify an amount.." id="billing_amount" name="billing_amount"> <option class="bs-title-option" value=""></option> <option value="REG10-5">$5</option> <option value="REG11-10">$10</option> <option value="REG12-30">$30</option> </select> 

value إرسال value الوحيدة بوضوح إلى الخادم. ماذا يعني 5 ، 10 ، 30 بعد الواصلة التي أفهمها ، هذا هو مقدار التجديد ، ولكن ماذا تعني القيمة الأولى؟ هل هناك أي ثوابت في الكود المصدري ، أم أن المجموع ببساطة يستخلص من البيانات؟

أنا أحاول. أنا REG12-0.01 في واحدة من النقاط ، أدخل بيانات البطاقة ، وإرسالها. تظهر رسالة: "شكرا لك. تم تحميل مبلغ 0.01 دولار من مبلغ التحميل على رقمك المدفوع مقدمًا. " تم خصم نفس المبلغ من البطاقة. يبدو أن كل شيء على ما يرام. يمكنك اختيار أي مبلغ ، على الرغم من أنني اكتشفت بالفعل هذه الفرصة من خلال USSD ، لا توجد مشكلة.

ولكن هنا هي النقطة الأكثر أهمية. تلقيت رسالة SMS إلى الرقم: "تم إيداع 30 دولارًا في حسابك". يتم زيادة رصيد الحساب بهذا المبلغ.

كان هناك العديد من هذه المنشورات مع الخدمات الشعبية المختلفة على هذا الموقع ، وربما سيكون هناك أكثر من ذلك. في عملية تطوير الأنظمة (لا سيما في الشركات التي تركز بشكل صارم على تكنولوجيا المعلومات) ، لا توجد اختبارات / ضوابط أمنية / نقاط ضعف ، ويبدو أن الموقف لن يتحسن في المستقبل القريب. لحسن الحظ ، لا تتأثر بيانات المستخدم الشخصية هنا. لا يمكن حتى أن تسمى هذه التجربة "اختراق" ، في الواقع ، يحدث الإرسال المعتاد للمبلغ المرغوب فيه إلى الخادم ، بدلاً من ذلك تقرر فاتورة المشغل تجديد الرصيد بمبلغ أكبر بمرات أكبر من المبلغ المحدد.