Майнинг еды или «Перекресток» глазами хакера

    Введение


    Доброго времени суток, друзья. Кто читал мои предыдущие статьи, должны понимать, что это будет еще один увлекательный взлом. Вот только взламывать мы будем магазин еды. Скажу сразу, что это не просто взлом. Мы не будем использовать дыры в коде системе. Мы возьмем эту систему и просто посмотрим на нее с другой стороны. Иначе говоря: «глазами хакера».

    Супермаркет «Перекресток» позиционирует себя как интернет-магазин продуктов. Возможно, это очень умно и удобно в наше время, когда можно заказать продукты, сидя дома на диване. Но все это выглядит слишком гладко, чтобы стать реалией. Везде есть минусы, какие-то недочеты и, собрав их воедино, мы получаем огромную дыру в системе…

    image

    Подготовительная часть


    Как и любая сеть магазинов, Перекресток имеет свои пластиковые карты, которые может купить любой покупатель за двадцатку деревянных. На эту карту будут начисляться баллы с каждой покупки. Чем больше закупитесь, тем больше баллов начисляется. Когда накопится достаточное количество баллов, вы можете приобрести любые продукты в счет этих баллов (кроме сигарет и спиртного). Курс обмена: 10 баллов = 1 рубль. Подходим к сути. У Перекрестка есть веб-сайт. По системе/задумке «Перекрестка» вы должны купить карту и зарегистрировать ее на сайте, чтобы получить доступ в личный кабинет и совершать покупки онлайн, следить за операциями и тд. Но что вы получаете на кассе? Пластиковую карту с 16-значным номером, которая уже активна. Поэтому многие пользователи даже не знают о существовании этого сайта.

    А теперь зайдем на страницу регистрации карты. Выглядит она так:

    image

    Okay. Введем номер карты, что потом?

    image

    Wow. Введем номер, что потом?

    image
    (скриншот не полностью)

    Мы входим в личный кабинет, к которому привязывается данная карта. Теперь она полностью под нашим контролем. То есть, мы можем установить официальное приложение на дрон/яблоко и генерировать штрих-код, которым можно расплачиваться на кассе.

    Но! Постойте! А что, если мы введем номер не своей карты, а номер телефона свой? Произойдет троллинг, друзья. Чужая карта привяжется к вашему номеру! Аплодирую Перекрестку!

    Техническая часть


    Что ж, мы можем взять номер любой карты (с этого момента перекресток будет с маленькой буквы) перекрестка, зарегистрировать ее на свой номер.

    Важно знать, что на 1 номер можно зарегистрировать аж 5 карт (правило магазина). И все баллы с этих 5 карт суммируются в одну. Важно знать, что номер карты состоит из 16 цифр. Возьмем, для примера, номер 7790 9977 0000 0000. Пусть эта карта будет ваша. Как найти другие? Система следующая! надо прибавить +8 к этому числу. Это и есть номер карты другого человека. Но важно знать, что в одном десятке не может быть больше 1 карты! В таком случае, следует прибавить +10, чтобы перейти на десяток выше.

    И так. у вас карта 7790 9977 0000 0000. Следующая: 7790 9977 0000 0008 (+8).
    Но в одном десятке не может быть 2 карты, значит еще +10. Итог: 7790 9977 0000 0018 (+10)
    Следующая +8: 7790 9977 0000 0026 (+8)

    И тд., но с наступлением полусотни, счетчик сбрасывается и вам надо подбирать действующий номер уже вручную. Все просто — вводим номер карты с *1 до *9, пока сайт не предложит нам ввести номер телефона.

    С этим разобрались. Дальше!

    Хакерская часть


    Сразу к делу. Выставляем на сайте «Москву и московскую область», или же «Питер».

    image

    Это позволит нам получить доступ в ЛК интернет-магазина. Зарегистрировавшись и войдя в кабинет, мы перейдем во вкладку «добавления карты».

    image

    Этот очень удобный инструмент перекресток сделал специально для хакера. Здесь мы можем проверить номер карты на валидность. Вставляем номер и перекресток через json выдает нам «true or false». Ну, вы поняли. Можно даже брут написать. У меня выходило около 1000 валидных карт в час.

    Далее — нам предстоит зарегистрировать все эти карты на номера телефонов, войти в кабинет, проверить баланс и, если вас все устраивает, то войти в мобильное приложение под этой картой, сходить в магазин, купить мяска с молочком и отменно покушать за чей-то счет.

    Конечно же, так делать не нужно, но мы лишь констатируем факт того, что может случиться. Авось, и уже происходит.

    Следствия


    Все хорошо, но если у меня один телефон, одна сим-карта. Как мне зарегистрировать другие карты? Ответ прост. Идем на платный сервис, где можем покупать номера, на которые будем принимать смс с кодом подтверждения. Таких сервисов довольно много. 1 номер, в целом, стоит 2-4 рубля. А баланс на картах может превышать 10000 баллов — более 1 тысячи рублей. Так что, это целесообразно.

    Повторяю, это не призыв к взлому. Это словно «инструкция к ограблению банка». Врываться и грабить банк никто, конечно же, не будет, но те, кто это сделают, ответят перед законом.

    Выводы


    Экспериментальным путем было «сбручено» около 500 карт. Баланс варьировался от 50 до 1500 р.
    Экспериментально также было проверено на практике. Был поход в магазин, где была произведена закупка на чужую карту. (Чужая карта принадлежала моему знакомому, который был в курсе, но я знал лишь номер карты, которая в последствии была зарегистрирована на мой виртуальный номер и присвоена мне). Приложу чек:

    image

    Таким образом, в день можно делать около 2-3 тысяч рублей, сидя дома и попивая чай, прикусывая бутербродом с колбасой, заедая йогуртом, запивая колой и тд.

    Все за счет пользователей супермаркета! Или же за счет супермаркета. Тут как бы спорный вопрос, но репутация данного магазина явно подпорчена.

    Были попытки связаться с службой поддержки. Слал письма 2 недели. В теме письма ставил «очень важно, вы взломаны». Странно, но не было ответа. Быть может, не восприняли всерьез. Ну да ладно. Все, что описано выше, не так уж и серьезно. Просто обкрадываем покупателей, тратим их деньги и кормим свою семью.

    А на этом пока все. Статья не полная, — были скрыты технические аспекты, дабы избежать массового взлома.
    Поделиться публикацией
    Комментарии 125
      –64

      Вот найдется же нехороший, которому обязательно надо написать статью на хабре, про то, что не следовало писать. Тем самым подставил других. Зачем?

        +14
        Я чуть злее самого доброго человека на Земле
          –30

          Зачем такое публиковать всем?

            +20
            а почему бы и нет?
            Ты этим занимаешься? Прости, я нарушил твой бизнес.
              –30

              Нет. Я к тому, что статья твоя не описывает какую-либо уязвимость. Копать надо было глубже, и не торопись в следующий раз.

                +8
                Господи, прочитай еще раз статью. Это не руководство для взлома. Здесь описана проблема в целом.
                  +4
                  Не соглашусь, это конкретная уязвимость, всё таки. Но судя по всему эксплуатируется она уже довольно долгое время.
              –9
              Я СЛОМАЛ ТВОЙ БИЗНЕС!
                –8
                Дурачек что-ли?
                +2
                Лучше пусть кто-то втихаря тырит деньги, а магазин даже не почешется? Он же ничего не теряет.
              +27
              В таких ситуациях я всегда советую придерживаться принципа «Хакер уже знает». В статье хорошо описано исследование простой проблемы, для понимания и исследования которой требуются базовые профессиональные навыки. Проще говоря, для хакера найти такую проблему легко. А для скрипт-кидди есть готовые руководства (полгода назад видел очень подробное руководство о том, как взламывать подобные бонусные программы, стоило очень недорого).

              Автор сделал очень важную вещь, он рассказал о проблеме всем, сделав ее достоянием не только узкого профессионального сообщества. Теперь клиенты смогут найти хоть какую-то информацию о том, почему у них со счетов пропадают бонусы, а представители магазина не смогут просто так отмахиваться.
              +2
              Наказать злодеев, которые думали, что они самые умные? Бесценно.
                –36
                Тоже не плнимаю, зачем это было публиковать? У меня друг уже полгода этим занимается, а теперь все успешно пофиксят. Браво.
                  +20

                  Ваш друг уже полгода ест за счёт покупателей Перекрёстка? "Браво"

                    +4
                    Что-то мне подсказывает, что это был сарказм.
                  +16
                  Автор пытался достучаться до магазина, но был проигнорирован. Там сами себе злобные антропогенные дендромутанты.
                    +1
                    Магазин уже года два знает о проблеме, но отказывается возмещать покупателям украденное.
                      +2
                      Зато они произвели ремонт в магазинах — стало очень круто. Мало тго что приправы теперь между мылом (логично, где ещё бытьл?), так ещё и муха в жареной картошке. Наверное, это была их месть хакеру.
                  +7
                  На дворе почти 2019. Не путайте хакеров и скрипт-кидди. Хотя это даже скрипт-кидди назвать сложно.
                    +5
                    Но! Постойте! А что, если мы введем номер не своей карты, а номер телефона свой?
                    Произойдет троллинг, друзья. Чужая карта привяжется к вашему номеру! Аплодирую Перекрестку!

                    И найдутся несколько малолеток, которые радостно побегут оформлять это на свои телефоны. Браво автор, ты сделал план какому нибудь полицейскому!
                      0
                      полицейский сейчас патрулирует двор. Ты ему со своим перекрестком нахрен не сдался. Разве что, если ты что-нибудь не украл оттуда
                        +2
                        Вы совершенно правы. Компьютерные преступления — это обычно по части ФСБ.
                          +5
                          Не надо отвлекать этих специалистов от действительно важных дел — преследования за лайки и репосты, а также от парадов на геленвагенах.
                          Вы что, хотите чтоб они еще и жуликов ловили?
                            +3
                            Могу сказать чего я хочу: чтобы иногда сарказм, который я вижу, имел хоть какой-нибудь смысл, был по делу и уместен.
                              +3
                              А я хочу, чтоб вся армия полицаев, росгвардейцев, фесебешников и прочая, прочая, прочая — вместо того, чтоб заниматься ерундой, начали делать то — за что я, налогоплательщик, плачу им деньги.
                              А именно — ловить жуликов.
                              Здесь мы видим как около года, жулики обворовывают граждан. Настолько нагло — чтоб был пост на Пикабу. Но — никакой реакции от служб охраны правопорядка — не было. При этом — в это самое время службы, занимались откровенной ерундой — арестовали граждан за фоторепортаж из музея фашизма, например.
                              Доволен ли я этим? Нет, не доволен.
                              Высказав своё фи в адрес этих бездельников — я сделал один из шагов, к тому, чтоб руководство, которое ставит задачи службам, сменилось. Именно так и формируется в правовом демократическом государстве — которым несомненно является Россия, общественное мнение. Которое потом, через инструменты народовластия, позволит изменить негативную ситуацию.
                              Поэтому я считаю свой комментарий уместным.
                                –4
                                Высказав своё фи в адрес этих бездельников — я сделал один из шагов, к тому, чтоб руководство, которое ставит задачи службам, сменилось.
                                О великие диванные войска, безжалостные и непобедимые. От каждого вашего гневного поста на просторах интернете где-то забивается под кровать очередной чиновник.
                                На самом деле нет.
                                  +1
                                  «Именно так и формируется в правовом демократическом государстве — которым несомненно является Россия».
                                  А давно это у нас РФ стала демократическим, и уж тем более правовым государством??)
                          0

                          Может и так, но тогда полицейский и малолетка должен читать хабр)

                            0
                            Сдаётся мне, что представители этих социальных групп уже давно следуют вашему совету.
                            –1
                            А что украл тот чувак? Деньги? Нет… Баллы? Да. Платёжное средство в РФ баллы? Нет. Деньги, рубли? Да. Баллы — это цифры в программе. И как бы не являются деньгами. А то что за цифры магазин даёт ништяки, так это его личное дело.
                              +2
                              Ну ок, будет «неправомерный доступ к компьютерной информации». Вам от этого легче?
                                0
                                Это ещё нужно доказать. Просто эти махинации с баллами, как правило оканчиваются ничем, даже если суммы идут о миллионах баллов.
                                  0

                                  То, что полиции лень это доказывать — это не значит, что это

                                    0
                                    О чём и речь. Мы говорили о том, что план полицейскому сделал. А я говорю, что это даже рассматривать не будут, даже если баллов там на миллионы будет.
                                      0

                                      Если есть план по этой категории — его надо закрывать. И легко закроют этим. Не больше и не

                                        0
                                        меньше?
                                          0

                                          Да.


                                          Что-то у меня мобильная версия последнее слово съедает.

                                            0
                                            Это у всех многих так. Не переживайте. Зато теперь сразу понятно, кто пользуется мобильной
                                              0
                                              Да просто проверил, дописав в конце слово.

                                              Но как не переживать, ведь так дописывая можно тут синдром Туретта заработать! Канада
                            +2
                            del, не увидел куска статьи про то что с перекрестком пытались связаться
                              –7
                              да там прошло уж много времени. даже не стал такое публиковать.
                              или ты админ Перекрестка?) прости, но тебя взломали
                              –3
                              дизлайкеры, я вас уверяю, схему скоро пофиксят. Вы будете снова кушать за деньги свои. Хватит воровать, вот мой ответ
                                +2
                                я думаю, дизлайкают скорее по причине «жабогадючности» поста, а не из-за какого-то сочувствия «Перекрёстку».
                                  +1
                                  добавлю.
                                  публикация информации по этой проблеме — это здорово, за это спасибо. дыры надо фиксить, тем более такие серьёзные.
                                  а вот над подачей инфы поработать было бы нелишне; хотя, гляжу, и так в целом зашло.
                                    +1
                                    Спасибо за совет. Но каждый читатель воспринимает информацию по каким-то своим критериям. У каждого автора свой стиль подачи текста, поэтому подстроиться под вкусы каждого пользователя просто не возможно.
                                    Если Вы прочтете мои предыдущие статьи, то, наверняка, поймете, почему я так излагаю свои мысли
                                      0

                                      автор пеши исчо. нормально зашло, не меняй стиль. действительно, всем не угодишь.

                                  0
                                  кстати, у «Карусели» таже система лояльности работает (на таком же софте), не знаю какие у них правила, но возможно подобные
                                    +1

                                    Подозреваю, что и у пятерочки. Пепяка гроуп, знаете ли...

                                    +4
                                    Вероятно, схема известна давно. Недавно активировал новую карту взамен утраченой, попутно глянул лог покупок (кстати, тоже интересные данные). И внезапно обнаружил несколько списаний баллов в магазинах очень странных регионов нашей необъятной. Т.е это был точно не я. Впрочем, интереса заняться изысканиями быстро пропал, т.к вполне очевидны следующие моменты:
                                    а) скорее всего в системе куча дыр, ибо… ну это же обычный супермаркет.
                                    б) в лучшем случае результатом сообщений о проблемах безопасности будет игнор, однако, более вероятно — неадекватная реакция с обвинениями во взломе;
                                    в) соответственно, никакого профита — ни за найденные уязвимости, ни использования оных в корыстных целях (ибо чтобы взять за жопу того, кто будет этим пользоваться — точно также не нужно вставать с кресла, все транзакции пишутся, точно также как и наши рожи на кассе).
                                      +2
                                      Чел, ты явно палишься. Номер терминала, номер чека, время чека. Зря потратил время на затирание адреса тт.
                                        –2
                                        Чем же я спалился? Тем, что расплатился картой своего знакомого, который был со мной в этот момент?)
                                          +1
                                          Тем, что на камерах поднимут запись от даты и найдут виноватого во всех бедах.
                                            +5
                                            я только этого и жду)
                                            –4
                                            Тем, что расплатился картой своего знакомого, который был со мной в этот момент?)

                                            Тем, что на камерах поднимут запись от даты и найдут виноватого во всех бедах.


                                            Не найдут, а назначат и знакомый пойдёт прицепом, соучастником в сговоре.
                                              0
                                              Каким соучастником? Соучастником чего? ахаха)
                                              То, что он мне дал свою карту, сидя со мной рядом за компьютером, чтоб мы зарегистрировали ее на сайте?)
                                              Хватит дурочку гнать, чувак. Из тебя плохой троль
                                                –2
                                                Грубо. И детектор сарказма сломан, а я ведь даже курсивом специально выделил.
                                                  0
                                                  Будь посерьезнее, друг. Мой тебе совет
                                                    0

                                                    Принято.
                                                    Но.
                                                    Ты описал уязвимость и продемонстрировал реальность её эксплуатации, при этом неаккуратно. В таких случаях, как показывает практика из постов здесь же на Хабре, крупные и закосневшие компании, обычно не сильно заморачиваются устранением таковых уязвимостей, а больше пытаются наказать разгласившего/устранить источник информации. Именно это я и пытался сказать, но возможно, в неверном ключе излагал свои мюсли.

                                                      –2
                                                      а. ну ладно тогда. окей
                                          +16
                                          Техническая часть (про номер карты) — глупость. Последняя цифра — контрольная (как в банковских картах), используется алгоритм Луна. Поэтому в одном десятке и не может быть больше одной карты.
                                            –3
                                            Потратить 7000 чтобы украсть 700 — это победа
                                            P.S. Невнимательно прочитал чек
                                            По уму должно быть ограничение на долю баллов в цене покупки, из предполагаемого наличия которого я исходил
                                              0
                                              Вы точно статью читали?
                                                0
                                                Я невнимательно прочитал чек :)
                                                –1
                                                чувак, мы ничего не тратим. Если бы ты прочитал всю статью, то понял, что эти баллы мы снимаем у других людей
                                                +2
                                                Справедливости ради сказать — у Перекрёстка есть ещё предоплаченная неименная дебетка от Альфа-банка, совмещённая с картой лояльности. Вот с ней такой фокус не проходит. Один номер мобильника — одна карта. Покупается на кассе за 99р (готовьте 100 рублей бумажкой — по безналу она почему-то не продаётся).

                                                Переводите деньги на неё с основной карты через спецпортал (без комиссии), привязываете карту к номеру телефона в ЛК и можно пользоваться.

                                                Это просто праздник какой-то — удвоенные баллы за оплату ей же, Paypass, бесплатные SMS-оповещения (подключаются в банкомате Альфы), на последних сериях можно там же в банкомате поменять pin-код, можно оплачивать онлайн (3D-secure код приходит на телефон). Из минусов — по дефолту на карте может быть единовременно не больше 15 килоруб, движения по карте ограничены 40 килоруб в месяц (т.е. 20 положил, 20 потратил). Насколько я понимаю, отсчёт с 1-го числа календарного месяца. Но тут тоже можно исхитриться (хинт: ещё ни разу не отказали в пополнении карты в последний день месяца). Увеличение лимитов — через визит в банк, но мне это лениво и практически гарантировано начнут впаривать ко-брэндовую кредитку, по которой баллы ещё выше и условия по обслуживанию хуже. Нельзя снять деньги в банкомате (только перевод на телефон), при утере карты средства также нельзя вернуть.

                                                Если грамотно выбирать «любимую категорию» товаров в личном кабинете, то баллов будет ещё больше. В общем, каждый месяц можно порадовать себя халявной баночкой красной икры, причём граммов 250.
                                                  +5
                                                  Мне вот вообще сложно понять людей, покупающих карту банка в продуктовом магазине.
                                                    0
                                                    Презервативы раньше тоже только в аптеках продавали ))). Скоро: лекарства и сим-карты.

                                                    Upd: вспомнил, сим-карты уже продают. В основном международные для путешествий.
                                                      0

                                                      Лекарства тоже продают. В большом Ашане видел такой отдел. Перекись водорода, зелёнка, бинты-пластырь и т.п.

                                                    –1
                                                    А переводы на эту карту работают?
                                                      0
                                                      > Мне вот вообще сложно понять людей, покупающих карту банка в продуктовом магазине.
                                                      Мне наоборот, очень удобно иметь возможность заполучить запасную карту без заморочек с заполнением анкеты и потенциальным сливом паспортных данных из базы. Один раз очень сильно выручила, когда платёж онлайн по основной почему-то не проходил. Да, так как cardholder на ней не указан — кто будет платить онлайн, в графе «владелец» можно писать PEREKRESTOK, так точно проходит. На некоторых чеках владельцем указывается CARDHOLDER/ALFABANK, но онлайн так не срабатывает.
                                                      Плюс баллы на неё капают за любую покупку по карте в любом месте, кроме перекрёстка. На каждые потраченные 100 рублей — 1 рубль скидка в магазине.

                                                      > А переводы на эту карту работают?
                                                      По номеру карты — да.
                                                        0

                                                        Писать что угодно в поле владелец можно то ли всегда, то ли почти всегда (речь не только про описанную карту, а про все). Я частенько пишу неправильные значения — это поле на самом деле обычно не проверяют

                                                      +1
                                                      … но зачем? Постоянно утруждать себя контролем ее баланса, плеваться, что в очередной раз забыл пополнить, стоя у кассы, замораживать на ней деньги, которые на другой карте приносили бы проценты на остаток и т.д.
                                                        –1
                                                        Мне так удобней ) Трудозатраты по контролю баланса — минимальные, для процентов считаю более удобным депозит, а не счёт повседневной карты…
                                                        +2

                                                        Как это часто бывает, карта не так хороша, если сравнить с альтернативами. По сути, удвоенный базовый кэшбэк по указанной карте (2% баллами перекрестка) хуже, чем карта перекрестка (1% баллами перекрестка) + базовый кэшбэк на всё от любого приличного банка (1% деньгами или более универсальными баллами банка, что лучше баллов перекрестка). А если внимательно посмотреть на существующие предложения, можно и больше 1% от банка иметь :)

                                                          0
                                                          Какие есть ещё интересные предложения?
                                                            0
                                                            1. Это реклама будет
                                                            2. Ситуации у всех разные, поэтому универсального ответа нет.

                                                            Поищите в интернетах по запросам типа «карты с максимальным кэшбэком».

                                                            Но задача эта, конечно, не в один шаг делается: сайты со сравнениями, обычно, имеют особый профит с отдельных карт, поэтому иногда несправедливо выделяют их среди других.

                                                            Аспекты, на которые надо обратить внимание (не все, а только те, что пришли в голову):
                                                            * Максимальный кэшбэк часто на узкий круг категорий покупок. Нужно либо понимать распределение своих трат по категориям, либо искать карту с максимальным кэшбэком «на всё»
                                                            * При больших значениях кэшбэка в процентах бывают смешные ограничения по сумме за период (типа 10%, но не больше 300 рублей)
                                                            * Условия выплаты кэшбэка (или начисления его в повышенном размере). Бывает, кэшбэк не платят, если потратить меньше 100к в месяц. Бывает, что не платят, если больше заданного процента покупок идёт в категории повышенного кэшбэка.
                                                              0
                                                              Рекламы бояться — в интернет не ходить.
                                                              Вот мне раньше Тачбанк нравился, 3% на супермаркеты, затем 2%, сейчас они поглощены ОТП банком, тоже 3% на категорию, в которой было максимальное число покупок.
                                                              Слышал про росевробанк, у которого 5% на супермаркеты, но там сейчас усложнили условия, поэтому реально получается меньше 3%, если в других категориях трат было менее 50%.
                                                          0

                                                          Защита в описанном сценарии основывается не на магии банковской карты, а на том, что ее обязуют привязать к телефону. Если карту перекрестка (бонусную) после получения привязать к телефону, описанные в посте фокусы не сработают.

                                                          +1
                                                          Здесь не хватает призыва к появлению автора от X5 Retail из поста двухнедельной давности. Но чудо — пост есть, а автора нет…
                                                          –2
                                                          Выше уже написали, в отделах К полиции городов присутствия Перекрестка в этом месяце гарантированно будет выполнен план.
                                                            0
                                                            кто написал? где?
                                                            Где подтверждение информации? Перекресток вообще никак не реагирует на это, не дает ни какие заявления. Хватит дизинформировать людей. В СМИ этого достаточно, на ютюбе и тд
                                                              0

                                                              Ну это не значит, что всем можно это делать, если информация общедоступна. Статью за мошенничество (или любую другую на усмотрение майора) никто не отменял, и прилететь может каждому.

                                                            0
                                                            А есть же много магазинов с аналогичными программами лояльности, гуливер, пятерочка, лента…
                                                              0
                                                              Перекресток зашевелился, в перепосте этой статьи на пикабу даже один работник вылез в комментах. Вроде как ввели капчу и теперь при привязке нескольких карт баллы не суммируются.
                                                                0
                                                                Так, погоди, погоди. Что значит:
                                                                Но что вы получаете на кассе? Пластиковую карту с 16-значным номером, которая уже активна.

                                                                Когда карту получаешь на кассе она не активирована. Её можно давать кассиру при покупке и на неё будет начисляться балы, но расплатиться ими нельзя. Я это точно знаю потому, что у меня именно такая не активированная карта (западло мне Перекрёстку свой телефон давать).
                                                                Карту надо зарегистрировать отдав кассиру анкету, ну либо же на сайте. Зарегистрированную карту перерегистрировать на свой номер телефона ожидаемо не получается. Взял сейчас у жены зарегистрированную карту и попробовал — не даёт.
                                                                В итоге получается, что надо найти номер незарегистрированной карты но с балами на счету. Да, дыра есть. Но много ли таких карт в обращении? Другими словами много ли людей которым западло обменять номер своего мобильного на 3 копейки этих бонусов? Ой не думаю.
                                                                  0
                                                                  Я находил карты, на которые привязывал свой номер, заходил в личный кабинет и смотрел операции по расходам.
                                                                  К вашему глубочайшему сожалению, там были как начисления, таки списания.
                                                                    0
                                                                    Да ну какое сожаление? Если у меня уведут эту карту я не сильно расстроюсь, ведь я не пользуюсь этими бонусами именно по причине, что карта не активирована и пользоваться ими не получается.
                                                                    Я просто поделился своим опытом, который противоречит исследованию. Т.е. получается, что есть карты по которым система позволяет списывать бонусы хотя карта не активирована. Либо активирована как-то, но не привязана к номеру телефона. Вопрос тогда каким образом произошла такая активация? Но в то же время видимо нельзя считать это массовым явлением т.к. лично с моей картой такой фокус не проходит.
                                                                      0
                                                                      Не получилось перерегистрировать карту (свою зарешистрированную оставили на кассе, в службе утерь магазина выдали первую попавшуюся — перегистрировать на себя не получилось, звонок в поддержку — старую от номера отвязали, новую перепривязали, баллы с новой приплюсовались — 80 или типа того было). Нашей, кстати, тоже пользовались (но не баллами) — были куплены сардельки и водка, баллы тоже упали в общую копилку.
                                                                    0
                                                                    Моё почтение.
                                                                      +3
                                                                      Несколько ( >5) лет назад я нашёл уязвимость одного магазина этой же хм… группы компаний. Замечу, что реакция была очень оперативной и очень адекватной.
                                                                      От этого инцидента у меня остался памятный подарок и письмо-благодарность.
                                                                      Больше всего в текущей истории мне интересно почему не было реакции на багрепорт и дошёл ли он вообще до ответственных, которые могут его интерпретировать. Бразильская система, конечно, порождает разные казусы, но способна до определенного момента быстро делать изменения(а тут этого не произошло).
                                                                        0
                                                                        Я с такой (ну или похожей) темой письма получаю в спам по десятку за день. И 100% из них — простое вымогательство. Может стоило нормальную тему письма придумать?
                                                                          +2
                                                                          Каким образом этот пост выбрался в топ и собрал кучу плюсов решительно не понятно, особенно учитывая подход автора (особенно в комментариях), который ведёт себя как школьник. #comment_19289047 #comment_19289137

                                                                          Зачем поощрять школьников к мелкому хулиганству?
                                                                            +1
                                                                            Такое сообщество, что поделать.
                                                                              –2
                                                                              Я задел твое внимание, теперь ты тоже являешься частью системы, комментируя данный пост и поощрая автора поста лайками.
                                                                              В 2018 шутить про школьников… Ты составил мой психотип по паре комментариев и пришел к выводу, что я школьник? Что ж, аплодирую за попытку, но ты не прав)
                                                                                0

                                                                                Уважаемый, вам корона не жмет? Настолько быть поглощенным своей персоной, что даже не в состоянии прочитать пару предложений, вместо этого додумав и выдав желаемое за действительное.

                                                                                  0
                                                                                  Вот только не надо отказываться от своих слов. Не люблю людей, которые переобуваться начинают. Я черным по белому прочитал, что вы сравнили автора (то есть, меня) со школьником.
                                                                              0
                                                                              Чтобы меньше брутить можно просто насобирать чеков из данных магазинов :)
                                                                                0
                                                                                В целом не плохое руководство.
                                                                                В любом случае человек, без специальных знаний, ничего не поймет. Так же на устранение данной уязвимости потребуется время и средства, на что как правило не шибко тратятся такие сети, да и скорее всего просто забьют. И применит то только тот кто кушать хочет, а нечего. Так что 99% пройдут мимо, а кто то запомнит и положит в карман, мало ли…
                                                                                image
                                                                                Я вот запомню…
                                                                                  0
                                                                                  Как хорошо что не пользуюсь всей этой скидочной трехомудью. Когда вижу магазин со скидочными картами а ля перетерочка, то предпочитаю идти в соседний. Ибо, смотришь у них на цены, мясо например. по карте 300 руб кг +- как в окее или ашане, а внизу мелкими буквами цена без карты — 500, и закрадываются небеспочвенные основания полагать что меня пытаются обмануть. А 1% бонусов которые можно потратить только в перетерочке, да еще и сгораемые, ну это совсем за гранью. Кто вам мешает оформить кредитку с кэшбеком(сити уж более 10 лет дает), и получать тот же 1% и тратить его там где хотите, а не только в перетерочке.
                                                                                    0
                                                                                    В пятёре и переке проще использовать купоны едадила, которые почти всегда примерно на 10% есть.
                                                                                      0
                                                                                      Не всегда удобно делать покупку от 1000 или 1500р, как там требуют.
                                                                                        0
                                                                                        Мне кажется заходить в магазин за одной буханкой хлеба накладнее. Так или иначе всегда можете для таких покупок юзать обычные бонусы.
                                                                                          0
                                                                                          Конечно не за одной. Но например для меня Пятерочка или Перекрёсток — это не тот магазин, где я обычно оставляю 1-2 тысячи, ведь там намного меньше выбор, в отличие от Ашана (который тоже рядом с домом).
                                                                                            0
                                                                                            Ну это да, кому где удобнее, я просто ашан не люблю и ротирую Метро/Зельгрос/Перек (с такими купонами цена выходит как в больших дешёвых, а в моём выбор хороший).
                                                                                              0
                                                                                              Ну в Перекрестке даже с -10% получается часто дороже чем в Ашане/Метро.
                                                                                      0
                                                                                      Я тож особо не пользуюсь, но замечу что пятёрочка достаточно щедрая в этом плане, мне за год за счет праздников где то рублей 500 приходит хотя я в пятерочку не регулярно хожу, и вот иногда захожу и выходит большая скидка.
                                                                                        0
                                                                                        В чём проблема завести карту, чтобы покупать мясо за 300, а не за 500?
                                                                                          0
                                                                                          проблема в том, что карту можно забыть, не хочется таскать с собой сотни карт от каждого магазина, как и делиться с ними своими персональными данными и получать потом смс спам от них. Ну и видя такие цены начинаешь сомневаться что на соседний продукт, на который сегодня нет скидки, цена не заряжена так же в два раза.
                                                                                            0
                                                                                            Можно поставить мобильное приложение, и показывать карту там, или показывать скриншот штрихкода, можно эти штрихкоды хранить в GooglePay.
                                                                                              0
                                                                                              Ну если вам выгоднее брать в соседнем за среднюю цену 400, и недосэкономливатть разницу в 100 р. ради комфорта в виде нетаскания с собой карточки… Красиво жить не запретишь.
                                                                                                0
                                                                                                нет, мне выгодней брать в соседнем за те же 300+-, зато есть уверенность что то что стоит везде 100 мне не продадут за 200
                                                                                                  0
                                                                                                  Вам просто обидно, что продадут дороже, т.к. вам лень мониторить цены?
                                                                                                  Я вообще зарёкся в соседние магниты/пятёрки ходить, т.к. там постоянно норовят впарить товар с истекающим сроком годности и т.п. Заработать на вас хотят все, вопрос сможете ли вы нивелировать это желание своими методами.
                                                                                                    0
                                                                                                    ээ, ну да, я выбираю магазин по среднему чеку. Если он меня устраивает то хожу туда, ну и чтоб сюрпризов не было что несомненно отражается на среднем чеке.
                                                                                            0
                                                                                            Регулярно хожу в Пятёрочку и Перекрёсток. В Пятёрочке описанных вами ценников я вообще не встречал, в Перекрёстке такие есть, их мало, размер цифр одинаков.
                                                                                            Описанные вами ценники характерны для Ленты, например.
                                                                                              0
                                                                                              Да вы правы, это была лента, забыл уже.
                                                                                            0
                                                                                            А теперь все дружно передадим привет «Варусу»

                                                                                            Если не ошибаюсь это ТОВ «Омега». У них, алгоритм был немного другой, но вскрыли его за пару недель и очень быстро разошлось народной молвой. Люди мультиварки покупали за счет бонусов) Думал, Варус поступил глупо, когда подумал что люди вокруг тупые. Но «Перекресток» их переплюнул, они не только думали, что вокруг глупцы, но еще и сами не больно-то умные, если даже не пытались собрать кейсы и исправить ошибки кейсов
                                                                                              0
                                                                                              А можете детальнее описать или приложить ссылку? Я как-то нашёл у них в бонусах уязвимость и написал им e-mail. За неделю никакого ответа не получил, поэтому отправил второе письмо. Потом третье — пересылал уже на те адреса, которые смог найти, но снова не ответили. Потом написал на e-mail, который был указан в контактах на Play Market. И только на него мне ответили, что первоначальный ящик, на который я писал, не отслеживался. Но ошибку в итоге исправили, дали немного бонусов. А про какую ситуация говорите вы?
                                                                                              0
                                                                                              Как найти другие? Система следующая! надо прибавить +8 к этому числу. Это и есть номер карты другого человека. Но важно знать, что в одном десятке не может быть больше 1 карты! В таком случае, следует прибавить +10, чтобы перейти на десяток выше.

                                                                                              Класс)
                                                                                              Только интересно, откуда ты узнал это?
                                                                                                0
                                                                                                Писали выше уже. Это алгоритм Луна

                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                              Самое читаемое