Российский хакер удержался от разорения Starbucks, а кофейня отплатила ему угрозами Статьи редакции
Специалист по безопасности аналитической фирмы Sakurity Егор Хомаков, проживающий в Сан-Франциско, нашёл способ обеспечить себе «пожизненный бесплатный кофе» в Starbucks через «взлом» подарочных карт. Об этом он рассказал на «Хабрахабре».
Фото Jueno Ricey
После покупки трёх подарочных карт Starbucks номиналом по 5 долларов каждая Хомаков прошёл в личный кабинет на сайте кофейни, чтобы пополнить свой баланс, и решил исследовать его на предмет уязвимостей класса «состояние гонки» (race condition).
Ошибки типа «состояния гонки» заключаются в особенности проектирования системы, в которой конечный результат её работы зависит от порядка выполнения запросов. Залогинившись в свой кабинет из двух разных браузеров, Хомаков использовал два ключа одновременных сессий для выполнения параллельных запросов на перевод одного доллара с одной карты на другую.
По словам специалиста по безопасности, первые пять попыток не увенчались успехом, однако на шестой раз ему удалось получить две карты номиналом 15 долларов и 5 долларов. Чтобы проверить, действительно ли «взлом» удался, он пошёл с этими картами в ближайший Starbucks, где при помощи них купил воды, жвачки, сэндвич с курицей и шоколад с карамелью на общую сумму в 16,7 доллара.
Worst bounty I had in years. But yeah, I hacked Starbucks pic.twitter.com/KuVNTFaaPU
— Egor Homakov (@homakov) March 23, 2015
Получив работающую схему, Хомаков не продолжил заниматься мошенничеством. По его словам, он тут же вернулся домой и пополнил свой баланс на 10 долларов, чтобы не оставаться в долгу на 1,7 доллара, которые он получил в результате исследования уязвимости.
Дальше хакер попытался связаться с администрацией Starbucks, чтобы сообщить о найденной уязвимости, однако в службе поддержки кофейни отказались ему помогать. Написав письмо на служебный адрес технической команды Starbucks 23 марта, Хомаков получил ответ лишь 29 апреля, а устранили уязвимость лишь спустя 10 дней.
Спасибо никто не сказал, зато был сделан недвусмысленный намёк, что я совершил «fraud» и «malicious actions» (мошенничество и действия со злым умыслом —TJ), и что они ещё подумают, что со мной сделать.
А что мог сделать я? Я мог запустить ферму из фейковых гифт-карт, купленных в разных магазинах мира, нагенерить на них кучу денег и продавать на специальных промо сайтах с 50% скидкой (чтобы не вызывать подозрения) за биткоины. Так, проработав год-другой, можно было бы высосать пару миллионов долларов из этой дружелюбной фирмы со сладким кофе.
Егор Хомаков, специалист по безопасности Sakurity
Это не первый случай, когда Хомаков обнаружил уязвимость в информационной системе крупной компании. В декабре 2013 года он рассказал о возможности рассылки спама через личные сообщения в Твиттере при помощи сторонних приложений.
Это у вас фишка такая писать про "удержался"?
Российские программисты могут всё, просто всегда удерживают себя в руках.
Это как взрывать интернет
Российский программист удержался от подрыва АЭС через публичный WiFi
А ведь мог бы и ножичком полоснуть!
А потому что компания огромная и в ней посчитали, что они настолько круты, что им не нужно снисходить до какого-то там "жалкого" программишки, который ещё и сам сообщил им об этом.
(не ходите в Старбакс, ходите в маленькие уютные местные кофейни)
Старбакс скоты
Могли бы отблагодарить уж
как яблочко совсем
Перевелись настоящие русские хакеры. Я все жду новость о том как какой-нибудь наш соотечественник таки воспользовался уязвимостью и сделал на этом акулиард
А потом нашли и дали по шапкке.
Надо было писать основатель в твиттер. Был бы другой ответ. Письмо приняли обычные сотрудники или юристы. У них своя атмосфера, не Айтишная.
В принципе, так и есть. Для владельцев бизнеса это непонесенные денежные и репутационные потери. А для IT-отдела это неделя мозгоебли и латания дырок.
А я тоже жру уже в течение месяца!
http://habrahabr.ru/post/255331/
"купил воды, жевачки, сэндвич с курицей и шоколад с карамелью"
это как ходить в макдональдс за салатом, простите
И часто вы покупаете себе одному кофе на $17?
Так он их и кличет "фирмой со сладким кофе", если вы обратили внимание.
Вот и помогай злым корпорациям после этого!
Чувак реально офигевший (в хорошем смысле). Чего стоит только 2 взлома Github'a.
Комментарий недоступен
И все-таки он Хомяков, несмотря на ник - http://habrahabr.ru/post/139399/#comment_4657570
Комментарий недоступен
Господа, а вам не кажется, что хакнуть гитхаб - это круче, чем найти возможность рассылки спама через личные сообщения в Твиттере, а?
Вот и Егор со мной согласен
Комментарий удален модератором
Размер конторы влияет на размер мозга её винтиков
Будь он евреем – точно бы не удержался.
Мы с нетерпением ждём перевод второй части отрывка из книги про Маска.
Тебе виднее.
юдофоб!
Мне больше нравится перевод "race condition" как "логические гонки". Кстати, баги из-за race conition не всегда дают возможность бесплатно попить кофе, иногда они и убивают: https://ru.wikipedia.org/wiki/Therac-25
Я, конешн, понимаю, что таких как я (и большинство злесь присутствующих, полагаю) не очень много, так что этим можно принебречь, но вот лично в моих глазах репутация старбакса сейчас очень упала :с
Какой-то младший менеджер переслал письмо ещё одному младшему менеджеру в другом отделе, пока по цепочке дошло в одну сторону, пока в другую...
Службы поддержки огромных компаний работают по накатанному, высылая шаблонные ответы (или используя стандартные формулировки), которые сочиняли юристы.
Не тем путём парень пошёл, если хотел уважения и благодарности.
Фамилия зачетная. Почти хомяк из старбакса
...сказал почти тапков из-под шконки.
Интересно у вас мозг работает, однако
И почему нельзя удалять свои комментарии…
Простите, промахнулся
-
Всё-таки, как по мне, даже десять долларов, которые он сделал таким способом, надо было кофейне возместить, сказав, что вот так и так.
Ага. Найди уязвимость, которая, попади в плохие руки, может стоить миллионов. Потом позвони им. Извинись за то, что помог им найти уязвимость. Позволь им выебать тебя в жопу и заплати им денег...
Читать не пробовали?
По его словам, он тут же вернулся домой и пополнил свой баланс на 10 долларов, чтобы не оставаться в долгу на 1,7 доллара