Хакер из России: я мог разорить Starbucks на миллионы

разорить StarbucksРоссиянин заявил, что придумал способ, как «высосать» из американской сети Starbucks несколько миллионов долларов.

Рассказ хакера Егора Хомакова появился на Sakurity.com — площадке компании SakurityNetwork, находящейся в Сан-Франциско, где работает сам программист, и на российском Habrahabr.

По словам автора поста, он «нашел способ нагенерить неограниченное число денег на подарочные карты старбакса, тем самым обеспечить себе пожизненный бесплатный кофе, ну или украсть у них пару миллионов другими способами».

Хакер утверждает, что обнаружил в веб-приложении сети кофеен уязвимость класса race condition. Благодаря этому ему удалось совершить манипуляции на сайте starbucks.com в личном кабинете, где можно добавлять карты для оплаты за услуги кофеен, смотреть баланс и даже переводить деньги между картами.

В результате хакер осуществил перевод на сумму большую, чем было у экспериментатора. Программист приобрел две карты с $15 и $5 ($20). И расплатился ими в кофейне на сумму $16,70. Резюмируя свои усилия, хакер подчеркнул, что инвестировал $15, а закупок сделал на $16,70.

Программист уверен, что мог «запустить ферму из фейковых гифт-карт, купленных в разных магазинах мира, нагенерить на них кучу денег и продавать на специальных промосайтах с 50-процентной скидкой (чтобы не вызывать подозрения) за биткоины».

Впрочем, он не стал этого делать и проинформировал Starbucks об уязвимости. А заодно и компенсировал сети потраченное свыше тех денег, которые хакер реально перевел за услуги кофейни. Сейчас уязвимость исправлена, отмечает россиянин.

За последние два месяца это уже не первый громкий случай, когда россияне спасают крупные компании от серьезных багов. Так, ИБ-исследователь из Казани Камиль Хисматуллин нашел на платформе YouTube баг, который позволял удалять с популярного видеохостинга любое видео. Google оперативно отреагировала на информацию об уязвимости и исправила ее в течение нескольких часов, наградив исследователя премией в $5 тыс., не считая аванса в размере $1337, который полагался ему в рамках программы выдачи грантов.

Позднее этот же программист отыскал уязвимость в социальной сети «ВКонтакте» — она позволяла получать прямые ссылки на изображения, хранящиеся как в личных, так и в групповых альбомах. Программист написал администрации ресурса о наличии уязвимости и получил «виртуальное вознаграждение» в 10 тыс. голосов «ВКонтакте», что эквивалентно 70 тыс. рублей.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Хакер из России: я мог разорить Starbucks на миллионы