1. Introdução
Bom dia amigos Quem lê meus artigos anteriores deve entender que esse será outro truque fascinante. Isso é só para quebrar, seremos uma loja de comida. Eu direi imediatamente que isso não é apenas hacking. Não usaremos buracos no sistema de código. Vamos pegar esse sistema e apenas olhar para ele do outro lado. Em outras palavras: "através dos olhos de um hacker".
O Perekrestok Supermarket se posiciona como uma mercearia online. Talvez isso seja muito inteligente e conveniente em nosso tempo, quando você pode solicitar produtos enquanto está sentado em casa no sofá. Mas tudo parece suave demais para se tornar realidade. Em todos os lugares há desvantagens, algumas deficiências e, juntando-as, temos um enorme buraco no sistema ...
Parte preparatória
Como qualquer cadeia de lojas, a Perekrestok tem seus próprios cartões de plástico, que qualquer comprador pode comprar por vinte cartões de madeira. Este cartão ganhará pontos em cada compra. Quanto mais você compra, mais pontos são concedidos. Quando você acumula um número suficiente de pontos, pode comprar qualquer produto por conta desses pontos (exceto cigarros e álcool). Taxa de câmbio: 10 pontos = 1 rublo. Chegamos ao ponto. Crossroads tem um site. De acordo com o sistema / idéia "Crossroads", você deve comprar um cartão e registrá-lo no site para obter acesso à sua conta pessoal e fazer compras on-line, monitorar operações, etc. Mas o que você ganha no caixa? Um cartão de plástico com um número de 16 dígitos que já está ativo. Portanto, muitos usuários nem sabem sobre a existência deste site.
Agora vamos para a página de registro do cartão. É assim:
Ok Digite o número do cartão e depois?
Uau. Digite o número, e depois?
(a captura de tela não está completa)
Entramos na conta pessoal à qual este cartão está anexado. Agora ela está completamente sob nosso controle. Ou seja, podemos instalar o aplicativo oficial em um drone / maçã e gerar um código de barras que pode ser pago no caixa.
Mas! Espere um pouco! Mas e se não digitarmos o número do cartão, mas o número do telefone? Trolling vai acontecer, amigos. Outro cartão será anexado ao seu número! Aplaudo a encruzilhada!
Parte técnica
Bem, podemos pegar o número de qualquer cartão
(a partir de agora o cruzamento estará com uma letra minúscula) do cruzamento, registrá-lo no seu número.
É importante saber que, para 1 número, você pode registrar até 5 cartões (regra da loja). E todos os pontos dessas 5 cartas são somados em uma. É importante saber que o número do cartão consiste em 16 dígitos. Tome, por exemplo, o número 7790 9977 0000 0000. Deixe este cartão ser seu. Como encontrar outras pessoas? O sistema é o seguinte! você precisa adicionar +8 a este número. Este é o número do cartão de outra pessoa. Mas é importante saber que em um dez não pode haver mais do que 1 cartão! Nesse caso, você deve adicionar +10 para subir uma dúzia.
E assim você tem um cartão 7790 9977 0000 0000. Próximo: 7790 9977 0000 0008 (+8).
Mas em um dez não pode haver 2 cartas, o que significa +10 a mais. Total: 7790 9977 0000 0018 (+10)
Próximo +8: 7790 9977 0000 0026 (+8)
E assim por diante, mas com o início de cinquenta, o contador é redefinido e você precisa selecionar o número atual manualmente. É simples - digite o número do cartão de * 1 a * 9 até que o site solicite a inserção de um número de telefone.
Nós descobrimos isso. Mais!
Parte do hacker
Vá direto ao ponto. Nós expomos no site "Moscow and the Moscow Region", ou "Peter".
Isso nos permitirá acessar a loja online da LK. Depois de se registrar e entrar no escritório, iremos para a guia "adicionar um cartão".
Esta ferramenta de encruzilhada muito conveniente foi feita especificamente para o hacker. Aqui podemos verificar o número do cartão quanto à validade. Nós inserimos o número e a interseção através de json nos dá “verdadeiro ou falso”. Bem, você entendeu. Você pode até escrever brutus. Recebi cerca de 1000 cartões válidos por hora.
Em seguida - precisamos registrar todos esses cartões nos números de telefone, entrar no escritório, verificar o saldo e, se tudo lhe convier, entrar no aplicativo móvel sob esse cartão, ir à loja, comprar almôndegas com leite e comer bem às custas de alguém .
Obviamente, você não precisa fazer isso, mas apenas afirmamos o que pode acontecer. Talvez isso já esteja acontecendo.As consequências
Está tudo bem, mas se eu tiver um telefone, um cartão SIM. Como registro outros cartões? A resposta é simples. Vamos a um serviço pago onde podemos comprar números para os quais receberemos SMS com um código de confirmação. Existem muitos desses serviços. 1 número, em geral, custa 2-4 rublos. E o saldo nos cartões pode exceder 10.000 pontos - mais de mil rublos. Então é aconselhável.
Repito, este não é um pedido de hackers. É como uma "instrução de assalto a banco". É claro que ninguém vai invadir e assaltar o banco, mas quem fizer isso responderá perante a lei.
Conclusões
Experimentalmente, cerca de 500 cartões foram "torcidos". A balança variou de 50 a 1500 p.
Também foi verificado experimentalmente na prática. Houve uma visita à loja onde a compra foi feita no cartão de outra pessoa. (O cartão alienígena pertencia a um amigo meu que sabia, mas eu só sabia o número do cartão, que foi posteriormente registrado no meu número virtual e atribuído a mim). Anexarei o cheque:
Assim, você pode fazer cerca de 2-3 mil rublos por dia, sentado em casa e tomando chá, mordendo um sanduíche com lingüiça, confeccionando iogurte, bebendo cola, etc.
Tudo à custa dos usuários do supermercado! Ou às custas do supermercado. Há, por assim dizer, uma questão controversa, mas a reputação desta loja é claramente estragada.
Houve tentativas de entrar em contato com o suporte. Enviei cartas por 2 semanas. O assunto da carta era "muito importante, você está hackeado". Estranho, mas não houve resposta. Talvez eles não levassem a sério. Oh bem. Tudo descrito acima não é tão sério. Acabamos de roubar clientes, gastamos seu dinheiro e alimentamos nossa família.
E isso é tudo por enquanto. O artigo não está completo - os aspectos técnicos foram ocultados para evitar hackers em massa.