Наличие Карты Старбакс – настоящий орден ценителя кофе. Отличительный знак, который, к тому же, делает жизнь лучше. Компания Старбакс создала свою внутреннюю валюту Stars (Звезды), получая и накапливая которые Участники Программы могут обменять их на бонусы в кофейнях Старбакс.

Для того чтобы стать частью Бонусной программы, достаточно перейти на официальный сайт starbuckscard.ru и зарегистрировать карту. Там же вы найдете список заведений, которые участвуют в акции.

Получить карту в физическом виде вы можете в любом кафе сети, самостоятельно выбрав понравившийся дизайн и сразу пополнив баланс на сумму от 500 до 10 000 рублей для совершения дальнейших покупок. Также можно купить онлайн карту СтарбаксeGifts на сайте http://starbuckscoffee.ru/ru/.

Как зарегистрировать карту Старбакс?

Регистрация карты Старбакс превращает ее из просто удобного платежного средства в генератор подарков и бонусов.

Для получения доступа к ним вы можете воспользоваться одним из способов:

Шаг 1. Перейти на сайт http://starbuckscoffee.ru/ru/

Шаг 2. Создать личный аккаунт, следуя подробным инструкциям

Шаг 3. Зарегистрировать Карту Старбакс или СтарбаксeGifts на сайте.

1. Скачать мобильное Приложение Старбакс.
2. Создать аккаунт.
3. Зарегистрировать Карту Старбакс или СтарбаксeGifts в Приложении.

Уровни карты Старбакс

Количество подарков и бонусов от Старбакс полностью зависит от активности Участника Программы и его любви к кофейным напиткам. После каждой совершенной покупки карте присваивается одна Звезда (Stars).

Чем больше Звезд, тем выше статус карты.

Зеленый уровень

Зеленый уровень карты присваивается участнику сразу после приобретения карты и для его поддержания необходимо совершать хотя бы одну покупку в течение года после регистрации карты на starbuckscoffeeru. Если за это время баланс карты не пополнялся звездами, привилегии Зеленого уровня замораживаются.

Золотой уровень

На Золотой уровень можно перейти с Зеленого уровня после получения 30 звезд за год.

Особенности карты Старбакс

Баланс Карты надежно защищен от воровства и подлежит восстановлению в случае потери. Такая Карта может стать отличным подарком с узнаваемым дизайном «Бумажные сердца» или «Лето».

Также зарегистрировать карту Starbucks означает получить доступ ко всем транзакциям, проверке баланса прямо с мобильного устройства, отслеживание бонусной активности и привилегий.

Привилегии Зеленого уровня

Привилегии Золотого уровня

1. Возможность получать за каждые новые 12 звезд любой напиток или одно блюдо, за исключением целых тортов.
2. Любой напиток или блюдо, за исключением целых тортов в качестве подарка на ваш День рождения.
3. Обновленный дизайн в золотом цвете.
4. Участие в специальных предложениях, которые распространяются через смс или e-mail рассылку.

Как пользоваться мобильным приложением Starbucks?

Мобильное приложение Starbucks подходит для всех устройств. Благодаря нему можно просматривать ближайшие кофейни, проводить операции с балансом и автопополнением, совершать операции между картами и быть в курсе специальных акций и предложений.

Бонусная программа Starbucks делает своих клиентов еще ближе к кофе, позволяет выгодно путешествовать по ассортименту кофейных зерен не только с выгодой для организма и души, но и с разумным пополнением и экономией бюджета.

Это история о том, как я нашел способ нагенерить неограниченное число денег на подарочные карты старбакса, тем самым обеспечить себе пожизненный бесплатный кофе, ну или украсть у них пару миллионов другими способами.

Итак, не так давно мне в голову пришла идея купить 3 карты Старбакса по $5 каждая.

На сайте starbucks.com есть личный кабинет, где можно добавить эти карты, смотреть баланс и даже переводить деньги между картами.

Есть такой малоизвестный класс уязвимостей «race condition» . Могу с уверенностью заявить, что большинство приложений, которые могут быть уязвимы, к этой атаке скорее всего уязвимы, ведь далеко не каждый программист при проектировке программ учитывает такие факторы, как параллельность выполнения кода и его последствия.

В веб-приложениях он тоже встречается, обычно в функциях связанных с переводом денег/очков/фантиков/ваучеров. Обо всех тонкостях эксплуатации я расскажу в другой раз, а пока вернемся к переводу между картами в Старбаксе.

Перевод строился из нескольких stateful запросов. Схематично - первый запрос POST /step1?amount=1&from=wallet1&to=wallet2 закладывал все эти значения в сессию на сервере, и лишь второй POST/step2?confirm переводил данные уже заложенные в сессии и очищал ее.

Это существенно усложняет эксплуатацию относительно классической гонки, где нужно лишь повторить один и тот же запрос несколько раз одновременно. Ведь как только первый запрос очищает сессию, второй уже натыкается на пустую сессию! И чтобы как-то заставить это работать, пришлось бы делать сложную композицию запросов, записывающую в сессию сразу после ее очищения первым запросом и перед выполнением второго запроса. Такое могло бы сработать раз из миллиона попыток, или вообще не сработать.

Но всегда есть обход для таких «полу защит» - можно залогиниться в один и тот же аккаунт с двух разных браузеров / сессий. Тогда эксплуатация выглядит приблизительно так:

#закладываем параметры перевода в обе сессии
curl starbucks/step1 -H «Cookie: session=session1» --data «amount=1&from=wallet1&to=wallet2»
curl starbucks/step1 -H «Cookie: session=session2» --data «amount=1&from=wallet1&to=wallet2»
#одновременное одобрение перевода $1 с карты 1 на карту 2.
curl starbucks/step2?confirm -H «Cookie: session=session1» & curl starbucks/step2?confirm -H «Cookie: session=session2» &

После 5 попыток ничего интересного не произошло и я хотел уже было сдаться. Особенность состояния гонки в том, что ее можно лишь попытаться найти стороннему атакующему, ведь неизвестно, какие защиты стоят (число запросов по IP? запросов на аккаунт? запросов на действие?) и единственный способ проверить уязвимы ли вы - это тщательно проаудировать исходный код на наличие должных пессимистических локов в базе данных.

На 6-ой запрос произошло чудо - перевод был произведен два раза и у меня стало две карты с 15 и 5 долларами, 20 в сумме. Чтобы считать это за proof of concept, осталось убедиться, что магазин примет эти карты.

Я пошел в ближайший работающий Cтарбакс на market st.

Дайте мне чего-нибудь на $16.
- O_o.
- Ну что у вас самое дорогое?
- Вон те сэндвичи.

Вышло $16.70.

Итак, в нашу маленькую операцию Ы было инвестировано 15 долларов, а закупок сделано на 16.70. Зная отношение самого гуманного суда США к хакерам, я вернувшись домой, сразу зачислил еще $10 с кредитки на карту Старбакса, чтобы не быть должным корпорации целых $1.70, мало ли.

Дальше самое сложное - процесс репорта. Саппорт честно ответил, что не может связать меня с технической командой, ну вообще никак, и им очень жаль, что я feel this way. Написал на [email protected] 23 марта, тишина (ответили, кстати, аж 29 апреля). Пришлось через знакомых знакомых находить людей, которым не все равно и лишь через 10 дней уязвимость была исправлена.

Спасибо никто не сказал, зато был сделан не двусмысленный намек, что я совершил «fraud» и «malicious actions» и что они еще подумают, что со мной сделать.

А что мог сделать я? Я мог запустить ферму из фейковых гифт-карт, купленных в разных магазинах мира, нагенерить на них кучу денег и продавать на специальных промо сайтах с 50 процентной скидкой (чтобы не вызывать подозрения) за биткоины. Так, проработав год-другой, можно было бы высосать пару миллионов долларов из этой дружелюбной фирмы со сладким кофе.

21 мая 2015 в 12:01

Как я взломал Starbucks для безлимитного кофе

• Информационная безопасность ,
• Разработка веб-сайтов

Это история о том, как я нашел способ нагенерить неограниченное число денег на подарочные карты старбакса, тем самым обеспечить себе пожизненный бесплатный кофе, ну или украсть у них пару миллионов другими способами.

Итак, не так давно мне в голову пришла идея купить 3 карты Старбакса по $5 каждая.

На сайте starbucks.com есть личный кабинет, где можно добавить эти карты, смотреть баланс и даже переводить деньги между картами.

Есть такой малоизвестный класс уязвимостей «race condition» . Могу с уверенностью заявить, что большинство приложений, которые могут быть уязвимы, к этой атаке скорее всего уязвимы, ведь далеко не каждый программист при проектировке программ учитывает такие факторы, как параллельность выполнения кода и его последствия.

В веб-приложениях он тоже встречается, обычно в функциях связанных с переводом денег/очков/фантиков/ваучеров. Обо всех тонкостях эксплуатации я расскажу в другой раз, а пока вернемся к переводу между картами в Старбаксе.

Перевод строился из нескольких stateful запросов. Схематично - первый запрос POST /step1?amount=1&from=wallet1&to=wallet2 закладывал все эти значения в сессию на сервере, и лишь второй POST/step2?confirm переводил данные уже заложенные в сессии и очищал ее.

Это существенно усложняет эксплуатацию относительно классической гонки, где нужно лишь повторить один и тот же запрос несколько раз одновременно. Ведь как только первый запрос очищает сессию, второй уже натыкается на пустую сессию! И чтобы как-то заставить это работать, пришлось бы делать сложную композицию запросов, записывающую в сессию сразу после ее очищения первым запросом и перед выполнением второго запроса. Такое могло бы сработать раз из миллиона попыток, или вообще не сработать.

Но всегда есть обход для таких «полу защит» - можно залогиниться в один и тот же аккаунт с двух разных браузеров / сессий. Тогда эксплуатация выглядит приблизительно так:

#закладываем параметры перевода в обе сессии
curl starbucks/step1 -H «Cookie: session=session1» --data «amount=1&from=wallet1&to=wallet2»
curl starbucks/step1 -H «Cookie: session=session2» --data «amount=1&from=wallet1&to=wallet2»
#одновременное одобрение перевода $1 с карты 1 на карту 2.
curl starbucks/step2?confirm -H «Cookie: session=session1» & curl starbucks/step2?confirm -H «Cookie: session=session2» &

После 5 попыток ничего интересного не произошло и я хотел уже было сдаться. Особенность состояния гонки в том, что ее можно лишь попытаться найти стороннему атакующему, ведь неизвестно, какие защиты стоят (число запросов по IP? запросов на аккаунт? запросов на действие?) и единственный способ проверить уязвимы ли вы - это тщательно проаудировать исходный код на наличие должных пессимистических локов в базе данных.

На 6-ой запрос произошло чудо - перевод был произведен два раза и у меня стало две карты с 15 и 5 долларами, 20 в сумме. Чтобы считать это за proof of concept, осталось убедиться, что магазин примет эти карты.

Я пошел в ближайший работающий Cтарбакс на market st.

Дайте мне чего-нибудь на $16.
- O_o.
- Ну что у вас самое дорогое?
- Вон те сэндвичи.

Вышло $16.70.

Итак, в нашу маленькую операцию Ы было инвестировано 15 долларов, а закупок сделано на 16.70. Зная отношение самого гуманного суда США к хакерам, я вернувшись домой, сразу зачислил еще $10 с кредитки на карту Старбакса, чтобы не быть должным корпорации целых $1.70, мало ли.

Дальше самое сложное - процесс репорта. Саппорт честно ответил, что не может связать меня с технической командой, ну вообще никак, и им очень жаль, что я feel this way. Написал на [email protected] 23 марта, тишина (ответили, кстати, аж 29 апреля). Пришлось через знакомых знакомых находить людей, которым не все равно и лишь через 10 дней уязвимость была исправлена.

Спасибо никто не сказал, зато был сделан не двусмысленный намек, что я совершил «fraud» и «malicious actions» и что они еще подумают, что со мной сделать.

А что мог сделать я? Я мог запустить ферму из фейковых гифт-карт, купленных в разных магазинах мира, нагенерить на них кучу денег и продавать на специальных промо сайтах с 50 процентной скидкой (чтобы не вызывать подозрения) за биткоины. Так, проработав год-другой, можно было бы высосать пару миллионов долларов из этой дружелюбной фирмы со сладким кофе.