Kaviarne Starbucks sú obľúbeným miestom oddychu a stretnutí milovníkov kvalitnej kávy a uvoľnenej atmosféry. Spoločnosť kedysi začínala predajom značkových pražených zŕn a dnes otvára prevádzky, kde môže každý návštevník nielen ochutnať lahodný kávový nápoj, ale aj sa naraňajkovať či občerstviť, ako aj zakúpiť profesionálne vybavenie na varenie kávy a značkové príslušenstvo na servírovanie. . Zástupcovia spoločnosti v Rusku sa starajú o svojich zákazníkov a ponúkajú účasť v programe „My Starbucks Rewards“.
Ako získať kartu
Každý klient siete kaviarní starší ako 14 rokov má právo získať bonusovú kartu zadarmo. Je potrebné ho doplniť v hotovosti a zaplatiť za všetok tovar na území kaviarne Starbucks. Za každý nákup dostane klient 1 hviezdičku. 12 nazbieraných hviezdičiek dáva právo získať „odmenu“ vo forme kávy, čaju alebo jedla zadarmo, okrem celých koláčov a koláčov.
Takto vyzerá mapa odmien.
Plastové nosiče je možné vydávať v ktorejkoľvek predajni Starbucks pri pokladni alebo si môžete vytvoriť virtuálny ekvivalent online v mobilnej aplikácii Starbucks Russia. Karta sa aktivuje po registrácii na stránke www.starbuckscard.ru a prvé doplnenie.
Vlastnosti použitia
Karta Starbucks umožňuje majiteľovi získať príjemné bonusy, ale musíte to vedieť ako to správne používať:
- Po registrácii do programu My Starbucks Rewards si musíte kartu aktivovať na webovej stránke www.starbuckscard.ru a vložiť minimálnu sumu 500 rubľov. K aktivácii dôjde do 24 hodín.
- Na pripísanie bonusov musíte zaplatiť za produkt iba Karta Starbucks.
- Platnosť odmeny je 30 dní od dátumu pridelenia, ak sa tomuto obdobiu vyhne, bonus sa vynuluje.
- Môžete si prezerať svoj zostatok, históriu odpisov a bonusov a tiež dobíjať účet cez osobný účet na webovej stránke www.starbuckscard.ru alebo prostredníctvom mobilnej aplikácie. Pomocou posledne menovaného je tiež možné zaplatiť za objednávku priamo z obrazovky telefónu (pri registrácii virtuálnej karty).
- Na webovej stránke spoločnosti je možné nakonfigurovať automatické a jednorazové doplnenie plastové účty alebo účty virtuálnych médií. Ak to chcete urobiť, musíte prepojiť svoju platbu banková karta vo svojom osobnom profile a vykonajte jednorazovú platbu alebo si nastavte trvalé dopĺňanie. Dostupné scenáre: peniaze budú pripísané, keď sa dosiahne minimálny zostatok, v určitý deň každého týždňa alebo dňa v mesiaci.
Programové úrovne
Pri registrácii do bonusového sporiaceho systému dostane kupujúci kartu Zelená úroveň. Ak chcete zabrániť tomu, aby sa nazbierané hviezdy vynulovali, musíte vykonať prinajmenšom 1 nákup počas 12 po sebe nasledujúcich mesiacov. V opačnom prípade môžete stratiť všetky nahromadené hviezdy. Zelená úroveň umožňuje vymeniť 12 hviezdičiek za kávový nápoj alebo jedlo.
Zlatá úroveň udelené na základe nahromadenia 30 alebo viac hviezdičiek počas roka. Privilégium:
- Bonusová bezplatná objednávka akéhokoľvek produktu zo sortimentu nápojov alebo jedla výmenou za 12 nazbieraných hviezdičiek;
- Propagácia blahoželania k narodeninám - možnosť získať bezplatnú kávu alebo jedlo na počesť sviatku;
- Dizajn zlatých kariet;
- Exkluzívne akcie, ktoré môžu byť prispôsobené osobným preferenciám pri výbere produktov alebo spôsobov platby. Môžete tiež získať zľavu na jedlo alebo nápoje.
Vytvorenie osobného účtu vám umožňuje vykonávať užitočné manipulácie s kartou. Patria sem: aktivácia, kontrola zostatku a odmien, jednorazové alebo pravidelné automatické dopĺňanie, prezeranie histórie transakcií.
Ak si chcete zaregistrovať účet, prejdite na webovú stránku www.starbuckscard.ru a vyberte kartu „Registrácia“.
Potom zadajte svoje telefónne číslo a kliknite na tlačidlo „Získať kód“.
V okne, ktoré sa otvorí, zadajte prijatý kód.
Ďalej sa sprístupnia polia na zadanie čísla a PIN kódu (nachádza sa na zadná strana plastový nosič pod poškriabacím panelom vedľa 12 ciferné číslo) kartu a osobné údaje prijaté v kaviarni. Príjem noviniek a akcií môžete potvrdiť aj e-mailom.
Mobilná aplikácia "Starbucks Russia"
Pre pohodlie zákazníkov spoločnosť Starbucks vyvinula a predstavila program pre Android A iOS. Funkcionalita aplikácie vám umožňuje aktivovať existujúcu kartu a naskenovať čiarový kód alebo vytvoriť plne elektronickú verziu, dozvedieť sa o nových akciách a ponukách a nájsť najbližšie kaviarne. V „Starbucks Russia“ si môžete pozrieť podrobnosti o svojom osobnom účte.
Môžete si dobiť kartu a zaplatiť za objednávku online.
Aplikácia vás upozorní aj na dostupnosť odmien.
Toto je príbeh o tom, ako som našiel spôsob, ako generovať neobmedzené peniaze darčekové karty Starbucks, čím si zabezpečíte kávu zadarmo na celý život, alebo im ukradnete pár miliónov iným spôsobom.
Nie je to tak dávno, čo som prišiel s nápadom kúpiť si 3 karty Starbucks za 5 dolárov.
Starbucks.com má osobný účet, kde si môžete pridať tieto karty, zobraziť svoj zostatok a dokonca prevádzať peniaze medzi kartami.
Existuje taká málo známa trieda „rasových“ zraniteľností. Môžem s istotou povedať, že väčšina aplikácií, ktoré môžu byť zraniteľné, je s najväčšou pravdepodobnosťou zraniteľná voči tomuto útoku, pretože nie každý programátor berie pri navrhovaní programov do úvahy také faktory, ako je paralelné vykonávanie kódu a jeho dôsledky.
Vyskytuje sa aj vo webových aplikáciách, zvyčajne vo funkciách súvisiacich s prevodom peňazí/bodov/obalov cukríkov/poukážok. O všetkých zložitostiach prevádzky vám poviem inokedy, ale teraz sa vráťme k prevodu medzi kartami v Starbucks.
Preklad bol zostavený z niekoľkých stavových požiadaviek. Schematicky, prvá požiadavka POST /step1?amount=1&from=wallet1&to=wallet2 vložila všetky tieto hodnoty do relácie na serveri a až druhá POST/step2?confirm preniesla údaje už uložené v relácii a vymazala ich.
To výrazne komplikuje fungovanie pomerne klasického závodu, kde stačí rovnakú požiadavku opakovať niekoľkokrát súčasne. Koniec koncov, akonáhle prvá požiadavka vymaže reláciu, druhá už narazí na prázdnu reláciu! A aby to nejako fungovalo, musel by som urobiť komplexnú skladbu požiadaviek, ktoré sa zapisujú do relácie hneď po jej vymazaní prvou požiadavkou a pred vykonaním druhej požiadavky. Môže to fungovať raz za miliónkrát alebo to nemusí fungovať vôbec.
Pre takéto „poloochrany“ však vždy existuje riešenie – do rovnakého účtu sa môžete prihlásiť z dvoch rôznych prehliadačov/relácií. Potom operácia vyzerá asi takto:
#nastavte parametre prekladu v oboch reláciách
curl starbucks/krok1 -H "Cookie: session=session1" --data "amount=1&from=peňaženka1&do=peňaženka2"
curl starbucks/krok1 -H "Cookie: session=session2" --data "amount=1&from=peňaženka1&do=peňaženka2"
#simultánne schválenie prevodu 1 USD z karty 1 na kartu 2.
curl starbucks/step2?potvrdenie -H "Cookie: session=session1" & curl starbucks/step2?potvrdenie -H "Cookie: session=session2" &
Po 5 pokusoch sa nič zaujímavé nestalo a už som to chcel vzdať. Zvláštnosťou rasovej podmienky je, že sa ju môžete pokúsiť nájsť iba útočníkom tretej strany, pretože nie je známe, aké ochrany sú zavedené (počet žiadostí podľa IP? žiadostí na účet? žiadostí o akciu?) a jediný spôsob, ako skontrolovať, či ste zraniteľní, je starostlivo skontrolovať zdrojový kód na prítomnosť správnych pesimistických zámkov v databáze.
Na 6. žiadosť sa stal zázrak - prevod sa uskutočnil dvakrát a mal som dve karty s 15 a 5 dolármi, spolu 20. Aby sme to považovali za dôkaz konceptu, zostáva už len uistiť sa, že obchod bude akceptovať tieto karty.
Išiel som do najbližšieho fungujúceho Starbucks na market st.
Dajte mi niečo v hodnote 16 dolárov.
- O_o.
- Čo je tvojím najcennejším majetkom?
- Tie sendviče tam.
Vyšiel na 16,70 USD.
Do našej malej prevádzky Y sa teda investovalo 15 dolárov a nákupy sa uskutočnili o 16,70. Keďže som poznal postoj najhumánnejšieho amerického súdu k hackerom, po návrate domov som si okamžite pripísal ďalších 10 dolárov z kreditnej karty na moju kartu Starbucks, aby som korporácii nedlžil až 1,70 dolára, nikdy neviete.
Nasleduje najťažšia časť – proces podávania správ. Podpora úprimne odpovedala, že ma nedokázali spojiť s technickým tímom, no, vôbec nie, a je im veľmi ľúto, že som sa takto cítil. Autor: [e-mail chránený] 23. marca ticho (mimochodom, odpovedali už 29. apríla). Cez mojich priateľov a známych som musel nájsť ľudí, ktorým na tom záležalo, a až po 10 dňoch bola zraniteľnosť opravená.
Nikto nepoďakoval, ale bola vyslovená jednoznačná narážka, že som sa dopustil „podvodu“ a „zlomyseľnosti“ a že stále budú rozmýšľať, čo so mnou urobia.
Čo by som mohol urobiť? Mohol by som založiť farmu falošných darčekových kariet kúpených v rôznych obchodoch po celom svete, generovať na nich veľa peňazí a predávať ich na špeciálnych propagačných stránkach s 50-percentnou zľavou (aby som nevzbudil podozrenie) na bitcoiny. Takže po roku alebo dvoch odpracovaných by ste mohli z tejto priateľskej spoločnosti vysať pár miliónov dolárov so sladkou kávou.
21. mája 2015 o 12:01 hodAko som hackol Starbucks pre neobmedzenú kávu
- informačná bezpečnosť,
- Vývoj webových stránok
Toto je príbeh o tom, ako som našiel spôsob, ako generovať neobmedzené peniaze na darčekové karty Starbucks, čím som si zabezpečil kávu zadarmo na celý život, alebo som z nich ukradol pár miliónov inými spôsobmi.
Nie je to tak dávno, čo som prišiel s nápadom kúpiť si 3 karty Starbucks za 5 dolárov.
Starbucks.com má osobný účet, kde si môžete pridať tieto karty, zobraziť svoj zostatok a dokonca prevádzať peniaze medzi kartami.
Existuje taká málo známa trieda „rasových“ zraniteľností. Môžem s istotou povedať, že väčšina aplikácií, ktoré môžu byť zraniteľné, je s najväčšou pravdepodobnosťou zraniteľná voči tomuto útoku, pretože nie každý programátor berie pri navrhovaní programov do úvahy také faktory, ako je paralelné vykonávanie kódu a jeho dôsledky.
Vyskytuje sa aj vo webových aplikáciách, zvyčajne vo funkciách súvisiacich s prevodom peňazí/bodov/obalov cukríkov/poukážok. O všetkých zložitostiach prevádzky vám poviem inokedy, ale teraz sa vráťme k prevodu medzi kartami v Starbucks.
Preklad bol zostavený z niekoľkých stavových požiadaviek. Schematicky, prvá požiadavka POST /step1?amount=1&from=wallet1&to=wallet2 vložila všetky tieto hodnoty do relácie na serveri a až druhá POST/step2?confirm preniesla údaje už uložené v relácii a vymazala ich.
To výrazne komplikuje fungovanie pomerne klasického závodu, kde stačí rovnakú požiadavku opakovať niekoľkokrát súčasne. Koniec koncov, akonáhle prvá požiadavka vymaže reláciu, druhá už narazí na prázdnu reláciu! A aby to nejako fungovalo, musel by som urobiť komplexnú skladbu požiadaviek, ktoré sa zapisujú do relácie hneď po jej vymazaní prvou požiadavkou a pred vykonaním druhej požiadavky. Môže to fungovať raz za miliónkrát alebo to nemusí fungovať vôbec.
Pre takéto „poloochrany“ však vždy existuje riešenie – do rovnakého účtu sa môžete prihlásiť z dvoch rôznych prehliadačov/relácií. Potom operácia vyzerá asi takto:
#nastavte parametre prekladu v oboch reláciách
curl starbucks/krok1 -H "Cookie: session=session1" --data "amount=1&from=peňaženka1&do=peňaženka2"
curl starbucks/krok1 -H "Cookie: session=session2" --data "amount=1&from=peňaženka1&do=peňaženka2"
#simultánne schválenie prevodu 1 USD z karty 1 na kartu 2.
curl starbucks/step2?potvrdenie -H "Cookie: session=session1" & curl starbucks/step2?potvrdenie -H "Cookie: session=session2" &
Po 5 pokusoch sa nič zaujímavé nestalo a už som to chcel vzdať. Zvláštnosťou rasovej podmienky je, že sa ju môžete pokúsiť nájsť iba útočníkom tretej strany, pretože nie je známe, aké ochrany sú zavedené (počet žiadostí podľa IP? žiadostí na účet? žiadostí o akciu?) a jediný spôsob, ako skontrolovať, či ste zraniteľní, je starostlivo skontrolovať zdrojový kód na prítomnosť správnych pesimistických zámkov v databáze.
Na 6. žiadosť sa stal zázrak - prevod sa uskutočnil dvakrát a mal som dve karty s 15 a 5 dolármi, spolu 20. Aby sme to považovali za dôkaz konceptu, zostáva už len uistiť sa, že obchod bude akceptovať tieto karty.
Išiel som do najbližšieho fungujúceho Starbucks na market st.
Dajte mi niečo v hodnote 16 dolárov.
- O_o.
- Čo je tvojím najcennejším majetkom?
- Tie sendviče tam.
Vyšiel na 16,70 USD.
Do našej malej prevádzky Y sa teda investovalo 15 dolárov a nákupy sa uskutočnili o 16,70. Keďže som poznal postoj najhumánnejšieho amerického súdu k hackerom, po návrate domov som si okamžite pripísal ďalších 10 dolárov z kreditnej karty na moju kartu Starbucks, aby som korporácii nedlžil až 1,70 dolára, nikdy neviete.
Nasleduje najťažšia časť – proces podávania správ. Podpora úprimne odpovedala, že ma nedokázali spojiť s technickým tímom, no, vôbec nie, a je im veľmi ľúto, že som sa takto cítil. Autor: [e-mail chránený] 23. marca ticho (mimochodom, odpovedali už 29. apríla). Cez mojich priateľov a známych som musel nájsť ľudí, ktorým na tom záležalo, a až po 10 dňoch bola zraniteľnosť opravená.
Nikto nepoďakoval, ale bola vyslovená jednoznačná narážka, že som sa dopustil „podvodu“ a „zlomyseľnosti“ a že stále budú rozmýšľať, čo so mnou urobia.
Čo by som mohol urobiť? Mohol by som založiť farmu falošných darčekových kariet kúpených v rôznych obchodoch po celom svete, generovať na nich veľa peňazí a predávať ich na špeciálnych propagačných stránkach s 50-percentnou zľavou (aby som nevzbudil podozrenie) na bitcoiny. Takže po roku alebo dvoch odpracovaných by ste mohli z tejto priateľskej spoločnosti vysať pár miliónov dolárov so sladkou kávou.