Loyalitätssystem oder wie man kostenlos lebt

Guten Tag, Habrovsk. Im Zusammenhang mit der großen Panik des letzten Artikels präsentiere ich Ihnen die zweite Version. Alles ist einfach, ohne Rotz. Das Loyalitätssystem ist ein großes Loch. Nach einigen Experimenten kamen wir zu dem Schluss, dass eine große Anzahl von Standorten, an denen ein solches System verwendet wird, bei dem Versuch, es zu verwenden, völlig ohne Logik sind.


Natürlich konnte jemand zumindest einen einfachen, aber schützenden Schutz implementieren, aber jemand stellt sich das Internet in dieser Form vor:



Im Allgemeinen treten viele Hackerangriffe fast in dieser Form auf. Nur in den Filmen zeigen sie Ihnen eine Reihe von Geräten der Zukunft, deren Funktionalität in der Gegenwart keinen Sinn ergibt.

Kommen wir zur Sache. Als Beispiel nehme ich einige Systeme, in denen es einen Massenkarzh geben kann.

Beginnen wir mit dem OBI .

Ich werde gleich sagen, dass es für mich wenig studiert wurde. Ihre vagen Regeln über die Verwendung von Boni haben mich in verschiedene Zweifel versetzt. Erstens haben sie mehrere Bonusprogramme. Für einen von ihnen kann man nur in drei Städten Russlands bezahlen, für den anderen - insgesamt. Gleichzeitig gelten Boni nicht für alle, sondern nur bis zu 50% des Warenwertes. Aber ein Haus zum halben Preis zu bauen ist schon gut.

Im Allgemeinen hat OBI auch eine Anwendung, mit der Sie sich bei unserer Karte anmelden und durch Generieren eines Barcodes bezahlen können.

Gehen Sie mit einem leichten Zauberstab zur Registrierungsseite:


Wir kommen zum Anmeldeformular nicht unserer Karte:


Nun, fülle es aus. Übrigens ist hier das System der Kartenberechnung das gleiche wie im "Crossroads". Um es klar zu machen - Algorithmus Mond . Ich gab alle Daten ein und gab eine zufällige Kartennummer an. Dabei habe ich eine Registrierungsanfrage über einen Schnüffler erhalten.
Wiederholte es mehrere hundert Mal in einem Zyklus. Es gab keine Fehler. Die Site hat meine Anfragen sehr effizient bearbeitet und eine Antwort in json zurückgegeben:

"data":{"registration":null},"errors":[{"message":"\u041e\u0448\u0438\u0431\u043a\u0430 \u043f\u0440\u0438 \u0437\u0430\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0438 \u0444\u043e\u0440\u043c\u044b.","type":"validation","locations":{"path":"\/work\/obiclub.ru\/app\/GraphQL\/Mutation\/Frontend\/RegistrationMutation.php","line":109},"safe":true,"validation":{"cardnum":["\u041d\u0435\u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u044b\u0439 \u043d\u043e\u043c\u0435\u0440 \u043a\u0430\u0440\u0442\u044b. \u041f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e\u0441\u0442\u044c \u0432\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445."]}}]}

In der Variablen cardnum befand sich der folgende Text, der aus dem Griechischen Unicode übersetzt wurde -

„Falsche Kartennummer. Überprüfen Sie die Richtigkeit der eingegebenen Daten »

Es ist interessant, dass für alle meine Anfragen von einer IP keine Blockierung erfolgte. Darüber hinaus dauert die Sitzung sehr lange. Ich habe nach einem Tag nachgesehen - die Antwort war. Könnte zumindest die Cookies zurücksetzen, das Captcha eingeben und dann eine feste "Gesichtspalme". Das Schreiben von Software ist nicht schwierig, nur fällt sie unter
Großbritannien. RF Artikel 273 , und das ist schon gefährlich!

Nun, wir haben ein Haus gebaut. Wir sollten unser Auto tanken und durch die Stadt fahren. Ich könnte hier ein Beispiel mit den beliebtesten Tankstellen geben, aber angesichts einiger Überlegungen werde ich dies nicht tun. Jeder hat ein System, aber die Herangehensweise ist anders, deshalb werde ich es an der einfachsten, wenig bekannten Tankstelle demonstrieren.

AZS-ETALON.RU . Es hat meine Aufmerksamkeit auf das gelenkt, was in meiner Stadt ist. Das Funktionsprinzip ist ähnlich - es gibt eine Kundenkarte; Es gibt eine Seite, auf der wir eine Karte registrieren. Es gibt einen Antrag durch Autorisierung, in dem Sie an der Kasse bezahlen können. Nun, es ist im Allgemeinen lustig.

Gehen Sie zum Kartenregistrierungsformular - lk.azs-etalon.ru/registration.php


Geben Sie alle Daten ein und klicken Sie auf "Hack", "Registrieren". Wir bekommen die Antwort

"Ungültige Kartennummer"

Das bedeutet, dass wir die nächste Nummer auf dem Konto eingeben und so weiter, bis wir freien Kraftstoff für unseren vierrädrigen Freund finden.

- Automatisieren?
- Einfach.

Wir fangen das Paket zur Registrierung. Wir bekommen folgendes

HTTP HEADERS:


POST-DATA:

Wir bringen es in eine bequeme Form, stellen es auf CURL ein, hämmern es in eine Schleife und legen es in einen Stream. Die Site wird Folgendes ausgeben:

"RќµІµЅ‹ № јsјµ є ° ‚ ‹"

das übersetzt aus dem Deutschen CP1251 -

"Ungültige Kartennummer"

Wir setzen die Bedingung für das Erscheinen einer anderen Antwort und finden "Buzz" . Der einfachste Brutus ist fertig.

Es gibt kein Captcha, keine IP-Blockierung für eine große Anzahl von Anforderungen - nein, es gibt nicht einmal eine erste Überprüfung auf Dateneingabe vom Client. Oh, okay. Und so geht es weiter.

Lass uns noch ein Tier durchgehen. Es ist viel größer als andere, aber immer noch anfällig.

Tape ... Just - TAPE

Gehen Sie zu getetepes lk.lenta.com/authentication/login/activate-card:


Wir gehen davon aus, dass dies eine zuvor gültige, nicht aktivierte Karte war. Wir werden gebeten, eine Telefonnummer einzugeben



Geben Sie Ihr Handy ein und dann den Rest der Daten, einschließlich des Passworts. Das ist alles, wir sind auf dem persönlichen Konto.

Hier ist sozusagen alles ähnlich wie bei früheren Systemen. Es ist nur wichtig, die erforderlichen Anforderungen zu erfassen und sie dann in der gewünschten Reihenfolge zu wiederholen.

Empirisch wurde jedoch eine schlechte Sicherheitslücke gefunden. Was ist passiert, wenn Sie den falschen Bestätigungscode eingegeben haben? Nichts, sie haben uns nicht in den LC gelassen. Das ist logisch, Leute.


Aber experimentell wurde Folgendes verifiziert! Anfragen zur Bestätigung des Codes wurden erfasst, in denen alle Parameter klar waren:

{"Code": "12345667890", "Karte": "800011999193", "Telefon": "91234567789"}

Ich werde nicht darauf eingehen, wie ich diese Sicherheitsanfälligkeit ausgenutzt habe, aber ich werde es Ihnen kurz sagen. Mit ihm können Sie einfach den Code weglassen und wir werden immer in das Benutzerkonto gelangen, ohne die Nummer zu bestätigen. Und das heißt, wir können jede Zahl angeben!

( Ich versuche derzeit, den TAPE-Support zu kontaktieren. )

Warum das alles? Lassen Sie uns Bilanz ziehen.

Es gibt viele Dienstleistungen mit einem Treue-System. Sie können endlos nach ihnen suchen und "brutale" Punkte. Wenn ich Ihnen sage, was ist es möglich, ein Flugzeug für diese Punkte zu fliegen?

Aeroflot und S7 haben auch ein Bonussystem. Die Punkte sind Meilen. Wir können sie zum Beispiel von Partnern verdienen. Aeroflot hat übrigens ungefähr zweitausend davon. Einschließlich fast aller Top-Supermärkte, einschließlich unserer berüchtigten X5 Retail Group. Sie können Punkte für Meilen direkt im LC derselben Kreuzung einlösen. Nun, und so in fast allen anderen Diensten. Übrigens wurde diese Tatsache des Flugdiebstahls von Meilen offiziell registriert. Hochkarätiger Fall, nicht ohne Opfer.

Infolgedessen ist nicht alles so einfach, wie es scheint. Es gibt Menschen, die von diesen Punkten leben. Nun, wenn diese Bälle formell Ihnen gehören, dann sitzt jemand auf Ihrem Hals. Kulkhacker können kostenlos essen, sich anziehen, Auto fahren, durch Städte fliegen und vieles mehr.

PS: Vielen Dank für die Tatsache, dass mehrere Sicherheitsbeamte von X5 mich gleichzeitig kontaktiert haben. Es gab mehr Diskussionen mit einem über "Wessen Punkte sind es - Kunden oder Crossroads" als über das Thema Systemsicherheit. Aber ich denke, sie werden alles reparieren, da der gesamte Sicherheitsrat dies bereits weiß. Sofort gut. Sie sollten Tribut zahlen. Die Hauptsache ist, besser zu werden.

Nun, hier haben Sie eine Umfrage.