Российский хакер удержался от разорения Starbucks, а кофейня отплатила ему угрозами

Специалист по безопасности аналитической фирмы Sakurity Егор Хомаков, проживающий в Сан-Франциско, нашёл способ обеспечить себе «пожизненный бесплатный кофе» в Starbucks через «взлом» подарочных карт. Об этом он рассказал на «Хабрахабре».

После покупки трёх подарочных карт Starbucks номиналом по 5 долларов каждая Хомаков прошёл в личный кабинет на сайте кофейни, чтобы пополнить свой баланс, и решил исследовать его на предмет уязвимостей класса «состояние гонки» (race condition).

Ошибки типа «состояния гонки» заключаются в особенности проектирования системы, в которой конечный результат её работы зависит от порядка выполнения запросов. Залогинившись в свой кабинет из двух разных браузеров, Хомаков использовал два ключа одновременных сессий для выполнения параллельных запросов на перевод одного доллара с одной карты на другую.

По словам специалиста по безопасности, первые пять попыток не увенчались успехом, однако на шестой раз ему удалось получить две карты номиналом 15 долларов и 5 долларов. Чтобы проверить, действительно ли «взлом» удался, он пошёл с этими картами в ближайший Starbucks, где при помощи них купил воды, жевачки, сэндвич с курицей и шоколад с карамелью на общую сумму в 16,7 доллара.

Worst bounty I had in years. But yeah, I hacked Starbucks pic.twitter.com/KuVNTFaaPU

 — Egor Homakov (@homakov) March 23, 2015

Получив работающую схему, Хомаков не продолжил заниматься мошенничеством. По его словам, он тут же вернулся домой и пополнил свой баланс на 10 долларов, чтобы не оставаться в долгу на 1,7 доллара, которые он получил в результате исследования уязвимости.

Дальше хакер попытался связаться с администрацией Starbucks, чтобы сообщить о найденной уязвимости, однако в службе поддержки кофейни отказались ему помогать. Написав письмо на служебный адрес технической команды Starbucks 23 марта, Хомаков получил ответ лишь 29 апреля, а устранили уязвимость лишь спустя 10 дней.

Спасибо никто не сказал, зато был сделан недвусмысленный намёк, что я совершил «fraud» и «malicious actions» (мошенничество и действия со злым умыслом —TJ), и что они ещё подумают, что со мной сделать.

А что мог сделать я? Я мог запустить ферму из фейковых гифт-карт, купленных в разных магазинах мира, нагенерить на них кучу денег и продавать на специальных промо сайтах с 50% скидкой (чтобы не вызывать подозрения) за биткоины. Так, проработав год-другой, можно было бы высосать пару миллионов долларов из этой дружелюбной фирмы со сладким кофе.

Егор Хомаков, специалист по безопасности Sakurity

Это не первый случай, когда Хомаков обнаружил уязвимость в информационной системе крупной компании. В декабре 2013 года он рассказал о возможности рассылки спама через личные сообщения в Твиттере при помощи сторонних приложений.

Нашли опечатку? Выделите фрагмент и отправьте нажатием Ctrl+Enter.

©  TJournal