Żabka padła ofiarą ataku, przez który możliwe było nieograniczone doładowywanie kont użytkowników żappsami, czyli punktami, normalnie przyznawanymi za (prawie) każde zakupy. Złodziejski proceder został już ukrócony, a do pierwszych osób, które się go dopuściły, zapukała Policja.
żappsy dla każdego
Aplikacja żappka, dostępna zarówno na urządzenia z systemem Android (do pobrania z Google Play oraz Huawei AppGallery), jak i iOS (z App Store), cieszy się ogromną popularnością wśród konsumentów w Polsce. Program regularnie wzbogacany jest o kolejne nowości – jak kawonament i wirtualną żabę Żabu – ale do regularnych zakupów w sklepie zachęca przede wszystkim (oprócz dostępu do ekskluzywnych ofert z aplikacją) program lojalnościowy, w ramach którego zbiera się żappsy. Za każdą wydaną złotówkę przyznawane są cztery punkty – po uzbieraniu odpowiedniej liczby można je wymienić na produkty dostępne w sklepie.
żappsy są zatem cenne i niektórzy postanowili się ich „dorobić”, gdy tylko nadarzyła się taka okazja. Jak donosi portal Niebezpiecznik, w miniony weekend pojawiła się możliwość nieograniczonego nabijania punktami kont wskazanych użytkowników poprzez nieautoryzowane użycie API do tego celu.
Serwis Zaufana Trzecia Strona informuje z kolei, że na jednym z kanałów na Discordzie (jest to jeden z najpopularniejszych komunikatorów, wykorzystywany przez graczy, ale nie tylko, bo również YouTuberów) pojawiły się zrzuty ekranu z aplikacji, na których widać było niezwykle wysokie liczby punktów na koncie, nawet ponad 100 tysięcy. Aby tyle zdobyć, trzeba by było wydać w sklepie Żabka przynajmniej 25 tysięcy złotych – to nie jest mała kwota, szczególnie że żappsy nie są przyznawane za opłacanie rachunków czy zakup alkoholi i wyrobów tytoniowych.
Co dalej? Jak to możliwe, że Żabka została „okradziona” z żappsów?
Nieuzasadnione zakupami w sklepie dodawanie punktów jak najbardziej można określić mianem „kradzieży”. Co więcej, w portal Zaufana Trzecia Strona otrzymał zdjęcie wypchanego produktami bagażnika, które rzekomo zostały odebrane za żappsy. Żabka jest zatem stratna i nic dziwnego, że sklep starał się jak najszybciej zareagować – w niedzielę zaczął blokować nieuczciwych użytkowników, a następnie wyłączył niektóre funkcje związane z żappsami, aby uniemożliwić dalsze „nabijanie” kont punktami.
Na tym jednak nie koniec – Niebezpiecznik podaje, że Policja odwiedziła już jednego z użytkowników, który w miniony weekend dokładnie opisał, w jaki sposób można „za darmo” dodać sobie dowolną liczbę żappsów do konta. Niewykluczone, że zapuka do drzwi również innych osób, które uczestniczyły w tym procederze – a na pewno tych, które wykradzione punkty wymieniły na produkty w sklepach Żabka.
Można też zadawać sobie pytanie, jak to możliwe, że Żabka umożliwiła coś takiego. Według serwisu Zaufana Trzecia Strona proceder ten prawdopodobnie poprzedził atak na pracownika Żabki z odpowiednimi uprawnieniami – mógł to być atak z wykorzystaniem złośliwego oprogramowania z przeglądarki lub phishing.
