Comments 36
Но злоумышленнику ведь ещё надо узнать и пароль (первый фактор). Без знания пароля до кода (в SMS / пуше) дело даже не дойдёт.
Да и для подтверждения каких-либо критичных операций внутри сессии — по большому счету тоже нельзя, по тем же причинам.
Не на все инстансы. Вообще все уведомления они персональные, просто используют их часто для массовой рассылки
Не на все инстансы
Прошу прощения — в процессе выражения мысли посредством печатных слов была утеряна важная деталь. Следует читать «на все инстансы, ассоциированные с данным пользователем».
Хотя даже если и только на один, как в обсуждаемом кейсе, это ничего не меняет, поскольку соответствие телефонного номера не гарантируется и теряется первоначальный смысл операции, он подменяется на другой. А уж подстановка кода из пуша в поле ввода — это имитация чистой воды и совершенно лишний шаг, оправданность которого не вполне понятна. Приложение уже получило в свое распоряжение этот код, реакция юзера не требуется.
Маленький лайфхак, если вызвериться на кассира ее дают бесплатно. А таскать ее все равно лень, ибо давно все карты в телефоне.
В общем происходит лютая дичь, могли бы взять за основу приложение перекрестка, все равно та же Х5
На некоторых сайтах продают чужие карты с балансом.
Скорее всего, это не взломанные карты. Я нередко замечаю, как в Пятерочке, когда я говорю, что бонусной карты у меня нет, кассир достает откуда-то свою карту и проводит её. Даже если у 10-20% посетителей Пятерочки нет бонусной карты, так любой кассир может себе нафармить десяток карт с тысячным балансом за смену.
В Перекрестке в свое время дыра была ещё больше, даже СМС не требовались...
В магазинах (скорее всего тупо из вредности) с определенного момента перестали списывать баллы не с физической карты
Я пожаловался однажды на горячую линию и так делать перестали
Ходил с электронной версией такой карты, думал, ну потом когда-нибудь… И вот как-то случайно замечаю, что «простыня» в чеке изменилась. Присматриваюсь: карта зарегистрирована на какую-то Наташу, баллов нет.
А всё просто: чтобы зарегистрировать карту, нужно было всего лишь указать её номер и любой свой телефон, на который придёт код. И вот, кто-то «собирал» незарегистрированные карты и списывал баллы. Даже по 100 руб. с карты без всяких «взломов», 10 карт — уже поесть на сутки.
Да, теперь взламывают ради еды.
Аналогично. Ходил с незареганой картой года три, набрал около 6тыс баллов, в ноябре попытался активировать карту через веб страницу (не приложение), сайт начал адско зависать. Вроде бы с третьей попытки зарегал.
Полез в личный кабинет — карты нет.
Пишу в ТП пятерочки — просят номер телефона и фото карточки. Проверяют и говорят: ваша карта зарегистрирована на другого человека, сделать ничего не можем и не будем, берите новую.
Через 20мин зашёл в магазин, сделал контрольную закупку — в чеке ноль бонусов и появился некий Егор.
Чтоб ты сдох, Егор!
Во-вторых, в песочнице же вроде до инвайта не видно никакой информации об авторе
Оказывается, что «продукт» стоит 49 рублей 99 копеек, и к нему применена скидка в сколько-то процентов (допустим, X). Дальше начинается цирк с конями.
Первый «продукт» в чеке: 49,99 × (1 − Х) = 19,99. Как и должно быть. Второй «продукт» в том же чеке: 49,99 × (1 − X) = 20,00. Третий… Ну вы поняли, да. Нечеткая арифметика по версии «Пятерочки»…
допустим товар стоит 99.50, скидка 5%, продали 10шт.
Хозяин считает 10*99.5*0.95=945.25руб
Продавец продал по цене 99.5*0.95=94.53руб 10 шт = 945.30руб. Не сходится, НДС, касса, капец продавцу.
Округляем тогда вниз 94.52руб 10шт = 945.20руб, опять 5 копеек не сходится касса. Уволить продавца!
Теперь прикинь какие проблемы когда нужно посчитать счет-фактуры еще и с НДС, а суммы в итоге не бьются на копейки
На кассе выясняется, что в базе по кой-то черт товар числится по 49,99, и должен продаваться всем со скидкой 60,012%. Сканируем первый товар, в чеке: исходная цена — 49,99, скидка — 30,00, цена для клиента — 19,99, количество — 1, итого — 19,99. Сканируем второй товар: цена — 49,99, скидка — 29,99, цена для клиента — 20,00, количество — 1, итого — 20,00. Как при расчете по одному и тому же алгоритму получается разный результат?
А по уму, не надо было выеживаться и поставить в базе нормальную цену без всяких скидок, соответствующую ценнику. Или, как правильно заметили выше, применять скидку не в процентах, а в рублях.
Недавно я не смог списать баллы на кассе пятёрочки. Даже кассир удивилась но ничего не могла сделать. После обращения в поддержку пятерочки оказалось, что каждый раз генерируется новый штрих-код в приложении и без интернета он не работает. В общем какую то защиту списывания баллов по скриншоту они реализовали. Теперь вопрос как воры списывают баллы войдя в чужой личный кабинет?
Майнинг еды или «Пятерочка» глазами хакера