Zakupy w sklepach Żabka za darmo. Absurdalny błąd aplikacji

24 stycznia 2023 2 minuty czytania

Osoby odwiedzające w ten weekend sklepy Żabka mogły robić w nich zakupy, za które w zasadzie nie trzeba było płacić. Mogli w takim sensie, że było to wykonalne, co nie znaczy, że nie łamali w ten sposób prawa. Kluczowy w całej sprawie jest błąd w aplikacji popularnej sieci sklepów.

Żabka i błąd w aplikacji, przez który dało się nie płacić za zakupy

W ostatni weekend w sieci (m.in. na Discordzie) pojawiły się zrzuty ekranu z aplikacji mobilnej Żappka, na których widać ogromne liczby żappsów, czyli wirtualnych punktów, które można wymieniać na rzeczywiste produkty z Żabki. W normalnych warunkach uzbieranie ok. 100 tysięcy żappsów zajęłoby mnóstwo czasu, jednak przez błąd w aplikacji popularnej sieci sklepów dało się ominąć konieczność bycia stałym klientem Żabki przez wiele miesięcy.

W weekend ujawniono dziurę w API Żabki. Można było nabić sobie dużo punktów, tzw. żappsów i "kupować" za nie produkty:https://t.co/0L6KAK94BM

W tekście:
O policji, która zatrzymała Filipa i tym dlaczego atak był możliwy. Czy Żabka namierzy wszystkich nieuczciwych klientów? pic.twitter.com/tqxw3Eiv51
— Niebezpiecznik (@niebezpiecznik) January 23, 2023

W API aplikacji sieci sklepów Żabka był obecny błąd, który pozwalał na samodzielne doładowanie konta żappsami przez użytkownika. Wystarczyło wysłać żądanie do API, posługując się odpowiednim kodem. Należało podać m.in. liczbę punktów oraz adres e-mail konta, na które mają trafić żappsy. To jednak nie wszystko.

Obecność wysoce uprzywilejowanego tokenu w kodzie wskazuje, że oryginalni twórcy nieautoryzowanego żądania mieli dostęp do konta użytkownika systemu z uprawnieniami do dodawania dowolnej liczby punktów do kont klientów. Skąd mogli go mieć? Obstawiamy dane wykradzione za pomocą złośliwego oprogramowania z przeglądarki (ciasteczka zalogowanej sesji managera / dyrektora kupione w sklepie typu Genesis?) lub skuteczny phishing na pracowników firmy.
– twierdzi serwis zaufanatrzeciastrona.pl.

Użytkownicy aplikacji Żappka mogli więc zrobić zakupy, nie wydając pieniędzy, tylko płacąc nieuczciwie zdobytymi punktami. Niektórzy upatrzyli sobie w całej sytuacji sposób na zarabianie pieniędzy, wystawiając na Discordzie, a nawet na Allegro Lokalnie oferty z żappsami. Kupujący miał zapłacić i podać adres e-mail swojego konta w aplikacji, by trafiły na nie punkty.

Żabka zareagowała na sprawę blokowaniem kont w aplikacji, na których wykryła niedozwolone aktywności związane z żappsami. Z nieoficjalnych informacji podanych przez portal Niebezpiecznik.pl wynika również, że policja odwiedziła jednego z internautów, który w weekend publicznie opisał metodę doładowania konta żappsami.

źródło: zaufanatrzeciastrona.pl, niebezpiecznik.pl