Dziura w API Żabki pozwalała na "darmowe" doładowywanie punktów! Sprawą zajęła się policja
Sieć sklepów Żabka miała poważny problem z bezpieczeństwem swojej aplikacji mobilnej. Dziura w API pozwalała bowiem na "darmowe" doładowanie punktów w aplikacji mobilnej, a następnie wymianę ich na prawdziwe produkty ze sklepu. Zgłaszający problem specjalista z firmy hackTive postanowił spróbować przetestować system i w łatwy sposób mógł zdobyć punkty o wartości nawet 500 zł. Po wykryciu luki w zabezpieczeniach, specjaliści z tejże firmy powiadomili Żabkę o tym problemie.
Niestety, pomimo informacji, żeby zablokować możliwość dodawania punktów w aplikacji mobilnej, luka nie została naprawiona przez Żabkę. W tym czasie grupa hakerów wykorzystała tę dziurę w zabezpieczeniach i zdobyła dość duże ilości punktów. Policja została powiadomiona o incydencie i rozpoczęła śledztwo. Żabka również zapowiedziała, że podejmie kroki mające na celu poprawienie bezpieczeństwa aplikacji. Wszystkim użytkownikom aplikacji mobilnej Żabka zaleca się, aby zaktualizowali swoją aplikację do najnowszej wersji, która ma już poprawione zabezpieczenia.
Żabka blokuje konta nieuczciwych użytkowników
Osoby, które postanowiły „przetestować” szczelność aplikacji i zrobiły nielegalnie zakupy w Żabce prawdopodobnie nie miały świadomości, że korzystanie z API pozostawia za sobą ślady. Ponadto konto w samej aplikacji jest powiązane z użytkownikiem, a w sklepie są zainstalowane kamery…W związku z tym, sieć sklepów po odkryciu luki w systemie API podjęła decyzję o zablokowaniu kont klientów, którzy korzystali z nieautoryzowanych sposobów doładowywania punktów w aplikacji. Jak poinformowała spółka, jest to działanie mające na celu ochronę uczciwych użytkowników programu lojalnościowego. Wszyscy zablokowani użytkownicy zostaną poinformowani o przyczynie blokady i będą mieli możliwość jej odblokowania po weryfikacji swojego konta.
Zatrzymano pierwsze osoby!
W związku z wykryciem luk w API Żabki, policja przeprowadziła pierwsze zatrzymania. Jak wynika z informacji podanych przez Komendę Stołeczną Policji, zatrzymano trzy osoby, które korzystały z nierzetelnie zdobytych punktów w celu dokonywania płatności w sklepach Żabka. Według doniesień medialnych, jest to grupa młodych ludzi, która działała na terenie województwa podlaskiego. Zatrzymani wykorzystywali oprogramowanie do nielegalnego doładowywania kont w aplikacji Żappka, a następnie przeznaczali zdobyte środki na zakupy w sklepach Żabka.
Policja zapowiedziała dalsze działania w sprawie, w tym przesłuchania zatrzymanych oraz osób, które mogą mieć związek z całą sprawą.