Взлом магазина "Перекресток"
Будем взламывать магазин еды. Скажу сразу, что это не просто хак:
мы не будем использовать дыры в коде системе, мы возьмем эту систему и просто посмотрим на нее с другой стороны.
Подготовительная часть
Как и любая сеть магазинов, Перекресток имеет свои пластиковые карты, которые может купить любой покупатель за 20р. На эту карту будут начисляться баллы с каждой покупки. Чем больше закупитесь, тем больше баллов начисляется. Когда накопится достаточное количество баллов, вы можете приобрести любые продукты в счет этих баллов (кроме сигарет и спиртного). Курс обмена: 10 баллов = 1 рубль.
Подходим к сути
У Перекрестка есть веб-сайт, там зайдем на страницу регистрации карты.
Окей. Введем номер карты, что потом?
Введем номер телефона, что потом?
(скриншот не полностью)
Мы входим в личный кабинет, к которому привязывается данная карта. Теперь она полностью под нашим контролем. То есть, мы можем установить официальное приложение на дрон/яблоко и генерировать штрих-код, которым можно расплачиваться на кассе.
Но! Постойте! А что, если мы введем номер не своей карты, а номер телефона свой? Произойдет троллинг, друзья. Чужая карта привяжется к вашему номеру! Аплодирую Перекрестку!
Техническая часть
Что ж, мы можем взять номер любой карты Перекрестка, и зарегистрировать ее на свой номер. Важно знать, что на 1 номер можно зарегистрировать аж 5 карт (правило магазина), и все баллы с этих 5 карт суммируются в одну.
Номер карты состоит из 16 цифр. Возьмем, для примера, номер 7790 9977 0000 0000. Пусть эта карта будет ваша. Как найти другие? Система следующая! надо прибавить +8 к этому числу. Это и есть номер карты другого человека. Но в одном десятке не может быть больше 1 карты! В таком случае, следует прибавить +10, чтобы перейти на десяток выше.
И так. у вас карта 7790 9977 0000 0000. Следующая:
7790 9977 0000 0008 (+8). Но в одном десятке не может быть 2 карты, значит еще +10. Итог:
7790 9977 0000 0018 (+10). Следующая +8: 7790 9977 0000 0026 (+8). С наступлением полусотни счетчик сбрасывается и вам надо подбирать действующий номер уже вручную. Все просто — вводим номер карты с *1 до *9, пока сайт не предложит нам ввести номер телефона.
Хакерская часть
Выставляем на сайте «Москву и московскую область» или же «Питер». Это позволит нам получить доступ в ЛК интернет-магазина. Зарегистрировавшись и войдя в кабинет, мы перейдем во вкладку добавления карты.
Этот очень удобный
Инструмент перекресток сделан специально для хакера. Здесь мы можем проверить номер карты на валидность. Вставляем номер и перекресток через json выдает нам «true or false». Ну, вы поняли. Можно даже брут написать. У меня выходило около 1000 валидных карт в час.
Далее нам предстоит зарегистрировать все эти карты на номера телефонов, войти в кабинет, проверить баланс и, если вас все устраивает, то войти в мобильное приложение под этой картой, сходить в магазин, купить мяска с молочком и отменно покушать за чей-то счет.
Выводы
Экспериментальным путем было «сбручено» около 500 карт. Баланс варьировался от 50 до 1500 р. Был поход в магазин, где была произведена закупка на чужую карту.
В день можно делать около 2-3 тысяч рублей, сидя дома и попивая чай, прикусывая бутербродом с колбасой, заедая йогуртом, запивая колой и тд. Все за счет пользователей супермаркета! Или же за счет супермаркета. Тут как бы спорный вопрос, но репутация данного магазина явно подпорчена.
Будем взламывать магазин еды. Скажу сразу, что это не просто хак:
мы не будем использовать дыры в коде системе, мы возьмем эту систему и просто посмотрим на нее с другой стороны.
Подготовительная часть
Как и любая сеть магазинов, Перекресток имеет свои пластиковые карты, которые может купить любой покупатель за 20р. На эту карту будут начисляться баллы с каждой покупки. Чем больше закупитесь, тем больше баллов начисляется. Когда накопится достаточное количество баллов, вы можете приобрести любые продукты в счет этих баллов (кроме сигарет и спиртного). Курс обмена: 10 баллов = 1 рубль.
Подходим к сути
У Перекрестка есть веб-сайт, там зайдем на страницу регистрации карты.
Окей. Введем номер карты, что потом?
Введем номер телефона, что потом?
(скриншот не полностью)
Но! Постойте! А что, если мы введем номер не своей карты, а номер телефона свой? Произойдет троллинг, друзья. Чужая карта привяжется к вашему номеру! Аплодирую Перекрестку!
Техническая часть
Что ж, мы можем взять номер любой карты Перекрестка, и зарегистрировать ее на свой номер. Важно знать, что на 1 номер можно зарегистрировать аж 5 карт (правило магазина), и все баллы с этих 5 карт суммируются в одну.
Номер карты состоит из 16 цифр. Возьмем, для примера, номер 7790 9977 0000 0000. Пусть эта карта будет ваша. Как найти другие? Система следующая! надо прибавить +8 к этому числу. Это и есть номер карты другого человека. Но в одном десятке не может быть больше 1 карты! В таком случае, следует прибавить +10, чтобы перейти на десяток выше.
И так. у вас карта 7790 9977 0000 0000. Следующая:
7790 9977 0000 0008 (+8). Но в одном десятке не может быть 2 карты, значит еще +10. Итог:
7790 9977 0000 0018 (+10). Следующая +8: 7790 9977 0000 0026 (+8). С наступлением полусотни счетчик сбрасывается и вам надо подбирать действующий номер уже вручную. Все просто — вводим номер карты с *1 до *9, пока сайт не предложит нам ввести номер телефона.
Хакерская часть
Выставляем на сайте «Москву и московскую область» или же «Питер». Это позволит нам получить доступ в ЛК интернет-магазина. Зарегистрировавшись и войдя в кабинет, мы перейдем во вкладку добавления карты.
Этот очень удобный
Далее нам предстоит зарегистрировать все эти карты на номера телефонов, войти в кабинет, проверить баланс и, если вас все устраивает, то войти в мобильное приложение под этой картой, сходить в магазин, купить мяска с молочком и отменно покушать за чей-то счет.
Выводы
Экспериментальным путем было «сбручено» около 500 карт. Баланс варьировался от 50 до 1500 р. Был поход в магазин, где была произведена закупка на чужую карту.
В день можно делать около 2-3 тысяч рублей, сидя дома и попивая чай, прикусывая бутербродом с колбасой, заедая йогуртом, запивая колой и тд. Все за счет пользователей супермаркета! Или же за счет супермаркета. Тут как бы спорный вопрос, но репутация данного магазина явно подпорчена.
