«Пятерочка» для хакеров

Анатолий Костырев о «взломе» бонусных карт
 
Газета "Коммерсантъ" №88 от 24.05.2019, стр. 7

https://im8.kommersant.ru/Issues.photo/DAILY/2019/088/KMO_168130_00503_1_t218_204133.jpg
Фото: Глеб Щелкунов / Коммерсантъ

Массовая раздача бонусных карт, которую практикуют торговые сети, стремясь увеличить число лояльных покупателей, может обернуться для них неприятными последствиями. Выяснилась схема незаконного получения баллов по «Выручай-карте» — программе лояльности торговой сети «Пятерочка» (входит в X5 Retail Group). Программа была запущена в августе 2017 года, и число ее пользователей сегодня превышает 30 млн человек. Держатели «Выручай-карты» получают один балл за каждые 20 руб. в чеке до 555 руб. Также предусмотрены баллы при покупке на большую сумму и при определенной частоте покупок за конкретный период. Обменять баллы на товары в «Пятерочке» можно по соотношению десять баллов на 1 руб. в чеке. Но нашлись и более выгодные условия.

Telegram-канал «Денежный» предлагает следующую схему. Желающий получить «бесплатные» баллы по «Выручай-карте» должен ввести в своем браузере при заходе на сайт «Пятерочки» специальный скрипт. С помощью подбора пароля код позволяет получить номера выданных карт, не привязанных к телефонам. После карту необходимо активировать в мобильном приложении, привязав для СМС-подтверждения к временному номеру, который также можно получить онлайн. Теперь пользователю должны стать доступны все бонусы, начисленные на карту, которые можно потратить с помощью мобильного приложения. В группах «ВКонтакте» уже появились объявления о продаже баллов по «Выручай-карте» за 40% от стоимости. Говорить о серьезных убытках от подобной схемы для «Пятерочки» вряд ли пока стоит. Опробовавший способ посетитель магазина сети опубликовал фотографию чека, из которой следует, что он приобрел на баллы напиток Red Bull и хлеб общей стоимостью около 94 руб.

В X5 сообщили: «Компетентные службы компании в реальном времени следят за ситуацией и при выявлении уязвимостей устраняют их». Но сколько подобных схем может появиться в будущем, сказать невозможно, да и вряд ли «взломщики» ограничатся «Пятерочкой». Так, на портале Habr еще в конце 2018 года сообщали об уязвимости в программе лояльности «Ленты». А свои бонусные карты сегодня есть уже почти у всех торговых сетей. В «Ленте» заявили, что фиксировали единичные случаи взлома карт и работают над устранением обнаруженной уязвимости. Но процесс может затянуться на неопределенный срок. Обнаруженная в 2016 году возможность бесплатно «пополнять» баланс московской транспортной карты «Тройка», как уверяют ее пользователи, работает до сих пор. Возможно, ритейлерам стоило уделять больше внимания вопросам безопасности перед началом массовой выдачи карт лояльности, чтобы не приходилось латать «дыры» по горячим следам. Не стоит исключать и то, что незаконная добыча баллов «Пятерочки» будет все более популярной: кризис, видимо, повышает изобретательность потребителей.

Авторы:  Анатолий Костырев

https://www.kommersant.ru/doc/3976806?f … r_business