About Teletype
Join
T
TORION
@torion
December 4, 2018

Бесплатная пища

Взлом магазина "Перекресток"

Подготовительная часть

Как и любая сеть магазинов, Перекресток имеет свои пластиковые карты, которые может купить любой покупатель за 20р. На эту карту будут начисляться баллы с каждой покупки. Чем больше закупитесь, тем больше баллов начисляется. Когда накопится достаточное количество баллов, вы можете приобрести любые продукты в счет этих баллов (кроме сигарет и спиртного). Курс обмена: 10 баллов = 1 рубль.

Подходим к сути

У Перекрестка есть веб-сайт, там зайдем на страницу регистрации карты.

Окей. Введем номер карты, что потом?

Введем номер телефона, что потом?

Мы входим в личный кабинет, к которому привязывается данная карта. Теперь она полностью под нашим контролем. То есть, мы можем установить официальное приложение на дрон/яблоко и генерировать штрих-код, которым можно расплачиваться на кассе.

Но! Постойте! А что, если мы введем номер не своей карты, а номер телефона свой? Произойдет троллинг, друзья. Чужая карта привяжется к вашему номеру! Аплодирую Перекрестку!

Техническая часть

Что ж, мы можем взять номер любой карты Перекрестка, и зарегистрировать ее на свой номер. Важно знать, что на 1 номер можно зарегистрировать аж 5 карт (правило магазина), и все баллы с этих 5 карт суммируются в одну.

Номер карты состоит из 16 цифр. Возьмем, для примера, номер 7790 9977 0000 0000. Пусть эта карта будет ваша. Как найти другие? Система следующая! надо прибавить +8 к этому числу. Это и есть номер карты другого человека. Но в одном десятке не может быть больше 1 карты! В таком случае, следует прибавить +10, чтобы перейти на десяток выше.

И так. у вас карта 7790 9977 0000 0000. Следующая: 7790 9977 0000 0008 (+8). Но в одном десятке не может быть 2 карты, значит еще +10. Итог: 7790 9977 0000 0018 (+10). Следующая +8: 7790 9977 0000 0026 (+8). С наступлением полусотни счетчик сбрасывается и вам надо подбирать действующий номер уже вручную. Все просто — вводим номер карты с *1 до *9, пока сайт не предложит нам ввести номер телефона.

Хакерская часть

Выставляем на сайте «Москву и московскую область» или же «Питер». Это позволит нам получить доступ в ЛК интернет-магазина. Зарегистрировавшись и войдя в кабинет, мы перейдем во вкладку добавления карты.

Этот очень удобный инструмент перекресток сделал специально для хакера. Здесь мы можем проверить номер карты на валидность. Вставляем номер и перекресток через json выдает нам «true or false». Ну, вы поняли. Можно даже брут написать. У меня выходило около 1000 валидных карт в час.

Далее нам предстоит зарегистрировать все эти карты на номера телефонов, войти в кабинет, проверить баланс и, если вас все устраивает, то войти в мобильное приложение под этой картой, сходить в магазин, купить мяска с молочком и отменно покушать за чей-то счет.

Выводы

Экспериментальным путем было «сбручено» около 500 карт. Баланс варьировался от 50 до 1500 р. Был поход в магазин, где была произведена закупка на чужую карту. Приложу чек:

В день можно делать около 2-3 тысяч рублей, сидя дома и попивая чай, прикусывая бутербродом с колбасой, заедая йогуртом, запивая колой и тд. Все за счет пользователей супермаркета! Или же за счет супермаркета. Тут как бы спорный вопрос, но репутация данного магазина явно подпорчена.

  • Твой TORION
TORION
December 4, 2018, 14:59
0 reactions
0 views