Comments 34
и инженеры компании уже работают над её исправлением
Т.е. эта, кхм, уязвимость до сих пор имеет место быть?
К слову, может быть глупый вопрос - но информационная система у "Вкусно - и точка" досталась же вместе с терминалами от предыдущего владельца? Они же не внедряли там какое-то новое решение? Соответственно, этот баг можно воспроизвести и в старом добром Макдоналдсе?
Подозреваю что внедряли, иначе это сложно объяснить
Вы как себе это представляете? Вот так за 1,5 месяца найти полный аналог и внедрить его на всех терминалах без отладки и тестирования? И вот прям функционал чтобы был такойже.
Если без отладки и тестирования, то вполне. Статья об этом как раз намекает.
Вы как себе это представляете?
Элементарно же. Чем по сути такой терминал отличается от любого сайта интернет-магазина? Берем любую болванку-темплейт, наполняем базу, пихаем в терминал. Основное отличие только в модуле оплаты, который и придется дописывать и в котором таки и была ошибка.
Это на первый взгляд так. Функционал там достаточно большой, чтобы сделать его за 1 месяц.А без тестирования в таких местах врядл кто что будет запускать, очень высок риск понести репутационные потери. Если вдруг в таком заведении перестаёт работать терминал, продажи почти останавливаются, т.к. большинство касс с кассиром заменили на них.
можно воспроизвести и в старом добром Макдоналдсе?
Ага, если вернуться в прошлое. Или вы про другие страны? Тогда, даже если там этот баг присутствует, то его эксплуатация зависит от торчащего из терминала заказа провода питания до розетки. Если провод спрятан -- то и терминал не выключишь.
>инженеры компании уже работают над её исправлением
там вроде софт макдаковский как был, так и остался, лого только поменяли. инженеры какой комании то работают?)
Может быть, прячут кабели питания в коробы, чтобы кассы не выключали. Тоже работа, иногда с инженерным подходом к проблеме
Знаю тоже один реальный случай от знакомых которые эксплуатировали его, была уязвимость на одном сайте, где можно было пополнить счет картами пополнения. Так вот если отправить одновременно запрос на пополнение из нескольких вкладок, то с некоторой долей вероятности проходило двойное пополнение, и очень редко даже тройное.
Подозреваю, что бекенд проверял сначала что код валидный, затем пополнял счет пользователю, и только после после помечал код в базе как использованный. Вот в промежутке между 1 и 2 шагом, можно было "втиснуть" еще раз пополнение.
Был подобный баг в старой MMORPG Perfect World. Году так в 2008 можно было кнопку подтверждения покупки "голды" в новых вкладках открывать, и с одного списания реальных денег получать в несколько раз больше игровой валюты!
Баны на 10 лет выдавали за такое. Пойду, проверю, как там учётка.
Вспомнилось как в первой диабле монеты ксерили :)
Ага, там еще защита была от дубликатов выброшенных на землю предметов. Правда работала она на одинаковых по объему кучках, то есть если "ксеришь" 5000 монет, просто делишь кучку на части - и вуаля, это уже не дубликат, а вполне себе норм золотишко.
С предметами/оружием такой финт, понятное дело, не работал...
В московском метро долгое время использовались билеты с магнитной полосой. И я прекрасно помню людей, прям в вестибюле торговавших «резаными» билетами по цене чуть ниже обычной.
Распределенные транзации сложны и полны коварства, ага...
Кого они там собрались искать? Им нашли бог за 12т.р., такая работа должна стоить сильно больше. Так что ребятам надо сказать спасибо и радоваться что дешего отделались.
представители компании отказались рассказывать, удалось ли установить личности подростков.
Очевидно, удалось, ибо:
списанные средства система возвращала на банковскую карту покупателя.
Даже если карта была родительской (а чьей же ещё?), здесь нет проблем с установлением личности. Также помним о камерах, встроенных в кассу самообслуживания (ибо является терминалом оплаты) на уровне лица покупателя, и камерах наблюдения, в обилии натыканных внутри заведения.
Вот и видео
Баг в том, что дверка открывается. В нашем ближайшем Маке тоже у одного терминала дверца сломана и болтается.
Исправление бага только физическое, похоже.
Когда-то очень давно, когда домашние компьютеры были с ламповыми мониторами, интернет работал по карточкам, уже был изобретён халявный GPRS, а аська была топ-мессенджером, то мегафоновский терминал в офисах самообслуживания также умел в интернет ходить. Чтобы произошло чудо, нужно было найти на оффсайте любой баннер, ведущий на внешний сайт и оттуда уже быстренько добираешься до гугла. А если у терминала был ещё и встроенный принтер, то ваще зачот.
Ну, во-первых глупо жульничать используя привязанную к личности карту. Подростки и есть подростки. А сам характер ошибки кочует еще со времен вендинговых автоматов с монетоприемниками. Подробностей не помню, но там тоже было что-то с опусканием монеток, перезагрузкой по питанию и получению сдачи (или трешем из прочистки монетоприемника на запуске плюс сдача). Выскакивало больше, чем засовывалось.
В Москве компания подростков месяц бесплатно питалась во «Вкусно — и точка» из-за бага в системе оплаты