Все, Истории

Как воруют баллы в «Перекрестке»

 

Здесь не будет очередной жалобы на то, что украли баллы с карты. Но будет рассказ о том, как их воруют. Пост публикуется с целью привлечь внимание магазина к проблеме, на которую они старательно закрывают глаза уже несколько лет.

 

Как и любая сеть магазинов, «Перекресток» имеет свои пластиковые карты, которые может купить любой покупатель за двадцатку деревянных. На эту карту будут начисляться баллы с каждой покупки. Чем больше закупитесь, тем больше баллов начисляется. Когда накопится достаточное количество баллов, вы можете приобрести любые продукты в счет этих баллов (кроме сигарет и спиртного). Курс обмена: 10 баллов = 1 рубль. Подходим к сути. У «Перекрестка» есть веб-сайт. По системе/задумке «Перекрестка» вы должны купить карту и зарегистрировать ее на сайте, чтобы получить доступ в личный кабинет и совершать покупки онлайн, следить за операциями и т.д. Но что вы получаете на кассе? Пластиковую карту с 16-значным номером, которая уже активна. 

 

А теперь зайдём на страницу регистрации карты. Выглядит она так:

Как воруют баллы в «Перекрестке» Перекресток, Бонусные баллы, Бонусы, Взлом, Длиннопост

Okay. Введем номер карты, что потом?

Как воруют баллы в «Перекрестке» Перекресток, Бонусные баллы, Бонусы, Взлом, Длиннопост

Wow. Введем номер, что потом?

Как воруют баллы в «Перекрестке» Перекресток, Бонусные баллы, Бонусы, Взлом, Длиннопост

Мы входим в личный кабинет, к которому привязывается данная карта. Теперь она полностью под нашим контролем. То есть, мы можем установить официальное приложение на Android/iPhone и генерировать штрих-код, которым можно расплачиваться на кассе.

 

Но постойте! А что, если мы введем номер не своей карты, а номер телефона свой? Чужая карта привяжется к вашему номеру! Аплодирую «Перекрестку!»

 

 

Техническая часть

 

Что же, мы можем взять номер любой карты перекрестка (с этого момента «перекресток» будет с маленькой буквы), зарегистрировать ее на свой номер.

 

Важно знать, что на один номер можно зарегистрировать аж 5 карт (правило магазина). И все баллы с этих 5 карт суммируются в одну. Важно знать, что номер карты состоит из 16 цифр. Возьмем, для примера, номер 7790 9977 0000 0000. Пусть эта карта будет ваша. Как найти другие? Система следующая: надо прибавить +8 к этому числу. Это и есть номер карты другого человека. Но важно знать, что в одном десятке не может быть больше 1 карты (в комментариях подсказали, что последняя цифра — контрольная (как в банковских картах), используется алгоритм Луна. Поэтому в одном десятке и не может быть больше одной карты). В таком случае, следует прибавить +10, чтобы перейти на десяток выше.

 

И так. у вас карта 7790 9977 0000 0000. Следующая: 7790 9977 0000 0008 (+8).

 

Но в одном десятке не может быть 2 карты, значит еще +10. Итог: 7790 9977 0000 0018 (+10)

 

Следующая +8: 7790 9977 0000 0026 (+8)

 

И т.д., но с наступлением полусотни, счетчик сбрасывается и вам надо подбирать действующий номер уже вручную. Все просто — вводим номер карты с *1 до *9, пока сайт не предложит нам ввести номер телефона.

 

С этим разобрались. Дальше!

 

 

Хакерская часть

 

Сразу к делу. Выставляем на сайте «Москву и Московскую область», или же «Питер».

Как воруют баллы в «Перекрестке» Перекресток, Бонусные баллы, Бонусы, Взлом, Длиннопост

Это позволит нам получить доступ в личный кабинет интернет-магазина. Зарегистрировавшись и войдя в кабинет, мы перейдем во вкладку «добавление карты»:

Как воруют баллы в «Перекрестке» Перекресток, Бонусные баллы, Бонусы, Взлом, Длиннопост

Этот очень удобный инструмент перекресток сделал специально для хакера. Здесь мы можем проверить номер карты на валидность. Вставляем номер и перекресток через json выдает нам «true» или «false». Ну, вы поняли. Можно даже брут написать. У меня выходило около 1000 валидных карт в час.

Следствия

 

Все хорошо, но если у меня один телефон, одна сим-карта. Как мне зарегистрировать другие карты? Ответ прост. Идем на платный сервис, где можем покупать номера, на которые будем принимать смс с кодом подтверждения. Таких сервисов довольно много. Один номер, в целом, стоит 2–4 рубля. А баланс на картах может превышать 10000 баллов — более тысячи рублей. Так что, это целесообразно.

 

Это не призыв к взлому. Это «инструкция к ограблению банка». Врываться и грабить банк никто, конечно же, не будет, но те, кто это сделают, ответят перед законом.

 

 

Выводы

 

Экспериментальным путем было «сбручено» около 500 карт. Баланс варьировался от 50 до 1500 р.

Экспериментально также было проверено на практике. Был поход в магазин, где была произведена закупка на чужую карту. Чужая карта принадлежала моему знакомому, который был в курсе, но я знал лишь номер карты, которая впоследствии была зарегистрирована на мой виртуальный номер и присвоена мне. Приложу чек:

Как воруют баллы в «Перекрестке» Перекресток, Бонусные баллы, Бонусы, Взлом, Длиннопост

Были попытки связаться с службой поддержки. Слал письма 2 недели. В теме письма ставил «очень важно, вы взломаны». Странно, но не было ответа. Быть может, не восприняли всерьёз. Ну да ладно. Все, что описано выше, не так уж и серьёзно. Просто обкрадываем покупателей, тратим их деньги и кормим свою семью.

 

А на этом пока все. Статья не полная, — были намеренно скрыты технические аспекты, дабы избежать массового взлома.

Поделиться ссылкой:

Добавить комментарий

Ваш e-mail не будет опубликован.

wp-puzzle.com logo