Żabka przez pomyłkę umożliwiła darmowe zakupy. Wystarczył prosty trik (aktualizacja)
W API Żabki wykryto lukę, która pozwalała dowolnie zwiększać saldo punktów (żappsów) w aplikacji Żappka. Można je wymieniać na prawdziwe produkty z tego sklepu.
W miniony weekend kilka osób poinformowało redakcję serwisu Niebiezpiecznik.pl, że można sobie dowolnie podbić saldo żappsów, czyli punktów zbieranych w aplikacji Żabki. Wystarczyło w tym celu wysłać odpowiednie żądanie do API, którego treść wygląda tak:
Nie wiemy, kto i w jaki sposób znalazł lukę w API Żabki oraz właściwą treść żądania, które pozwalały z niej skorzystać. Jeden z czytelników Niebezpiecznika twierdzi po dogłębnej analizie zdarzenia, że do nabicia konta żappsami wystarczyło użyć dowolnego tokenu, na przykład ze swojej aplikacji. Według niego użyta w pokazanym powyżej żądaniu metoda points.upcharge w ogóle nie weryfikowała kto i kiedy może ją wywołać. A to oznacza całkiem poważną dziurę w API i źle świadczy o osobach odpowiedzialnych za jego implementację i testy.
Efekt znalezienia luki w API Żabki i sposobu na jej wykorzystanie był taki, że wiele osób chwaliło się zwiększonym stanem swojego konta punktowego, a nawet zrobionymi za darmo zakupami w mediach społecznościowych.
Żabka blokuje konta
Osoby, które skorzystały z całej sytuacji i zrobiły zakupy w Żabce płacąc za nie dodanymi dzięki luce żappsami prawdopodobnie nie pomyślały o tym, że korzystanie z API zostawia ślady. Ponadto konto w aplikacji jest powiązane z użytkownikiem, a w sklepach są kamery. Żabka z resztą zaczęła blokować konta wybranym użytkownikom swojej aplikacji, a jednego z internautów, który opisał metodą doładowywania żappsów, odwiedziła policja.
AKTUALIZACJA
Opisywane naruszenia kont użytkowników aplikacji Żappka zostało potwierdzone przez Żabkę Polska. Firma nadesłała do nas oświadczenie w tej sprawie, zapewniając, że konta zostały zablokowane, a sprawa jest wyjaśniana:
Potwierdzamy, że w ostatnich dniach odnotowaliśmy przypadki doładowywania żappsami w nieuprawniony sposób wybranych kont użytkowników Żappki. W reakcji na te naruszenia dokonaliśmy blokady kont, na których doszło do niedozwolonych aktywności. Jesteśmy na etapie wyjaśniania całej sytuacji we współpracy z naszymi partnerami technologicznymi.
