W weekend w sieci pojawiło się wiele zdjęć i zrzutów ekranów pokazujących nieprawdopodobnie wysokie liczby tzw. żappsów, czyli punktów lojalnościowych, które można dostać za zakupy w Żabce. Nietrudno było się domyśleć, że część użytkowników w jakiś nieuczciwy sposób doliczyła sobie dziesiątki, a czasem nawet setki tysięcy punktów do konta.
Błąd w aplikacji Żabki pozwalał robić darmowe zakupy. Jak do tego doszło?
Niedługo później w internecie pojawiły się też zdjęcia wypełnionych zakupami bagażników osób, które "dorobiły się" w aplikacji Żabki i wymieniły punkty na produkty w sklepach. W sieci znalazło się też wyjaśnienie, w jaki sposób użytkownikom udało się przyznać sobie wirtualne monety popularnej sieci.
Jak opisuje branżowy serwis Niebezpiecznik.pl, wszystko stało się z powodu możliwej dziury w API (interfejsie programistycznym) aplikacji, która pozwalała wysłać odpowiednie żądanie do programu bez konieczności autoryzacji i bez znajomości tokena z odpowiednimi uprawnieniami - tłumaczy serwis. Nie jest jednak jasne, komu i w jaki sposób udało się znaleźć lukę i ustalić poprawną treść żądania.
Koniec końców sposób ten pozwolił na doliczenie niemal dowolnej liczby punktów do dowolnego konta. Wystarczyło jedynie znać adres e-mail i wpisać go w żądaniu. To sprawiło, że internauci przyznawali sobie tysiące punktów w aplikacji bez żadnej kontroli. A potem jeszcze chwalili się tym w internecie i pędzili do sklepów po darmowe zakupy.
"Darmowe" zakupy w Żabce. Nieuczciwi klienci zostawili za sobą wiele śladów
Nic zatem dziwnego, że do akcji szybko wkroczyła zarówno Żabka, jak i policja. Jak opisuje Niebezpiecznik.pl, zastosowanie tej metody oszustwa zostawia sporo śladów, które Żabka mogła wykorzystać, aby zidentyfikować sprawców, zwłaszcza gdy doładowywali oni konta powiązane ze swoimi adresami mailowymi. Dostęp do aplikacji dla części osób został już zablokowany.
Z informacji jednego z czytelników serwisu wynika też, że do mieszkania jednego z użytkowników aplikacji wkroczyła policja. Mężczyzna miał dokładnie opisać metodę kradzieży żappsów z wykorzystaniem luki w API w internecie.
