Информационная безопасность — мое хобби. К сожалению, пока не могу сказать об этом большего. Я не зарабатываю этим на хлеб, нет, я просто исследую то, что мне попадается.
Летней ночью 2015 года, где-то в 4 утра, я как обычно думал о жизни. Внезапно на меня упала мысль: «В реальном мире, где нет биткойнов, никто не отслеживает деньги, все отслеживают только суммы переданных денег». Эта мысль натолкнула меня на очень многое, но в первую очередь — на бонусную программу Билайн.
Небольшое отступление. Бонусная программа от Билайн «Счастливое время» до октября 2015 года работала по следующей схеме:
1) Вы пополняете счет;
2) Получаете до 15% от суммы пополнения как «бонусные рубли»;
3) В следующем месяце можете потратить «бонусные рубли» на
Собственно идея, возникшая у меня в голове, была довольно проста: можно прогонять одни и те же деньги через счет Билайн, получая за это бонусы. Как решение на глаза мне попалось приложение «QIWI кошелек». Есть множество способов пополнения QIWI кошелька, один из таких способов — со счета мобильного телефона. Пойдя на встречу людям, Билайн убрал комиссию за пополнение QIWI кошелька. Думаю, вы уже догадались, что было дальше.
Готовая схема получилась достаточно простой:
1) Пополняем Билайн на любую сумму (осторожно с лимитами);
2) Переводим средства на счет QIWI без комиссии;
3) Пополняем Билайн со счета QIWI без комиссии;
4) Повторяем пока не надоест, оставляя себе бонусные рубли и деньги на QIWI кошельке.
Вышло довольно изящно и просто. А что главное — совершенно бесплатно для пользователя.
Как помешанный на своем человек, нашедший брешь в логике системы, я стал думать: как можно было бы её избежать? Как можно было бы исправить это со стороны Билайн? Спустя минут 30 размышлений пришел ответ: никак! Им придется полностью менять условия бонусной программы. На моем лице в районе 6 часов утра появилась зловещая улыбка.
Так как я являюсь постоянным клиентом этого оператора, я решил помочь ему — эдакий альтруизм, — зарепортив баг в саппорт Билайна. Спустя сутки мне пришел ответ, в котором меня поблагодарили за сообщение о бреши и в благодарность начислили мне на счет «200 бонусных рублей». Не трудно догадаться, что к моменту их ответа, я уже поэкспериментировал на лимиты. 200 бонусных рублей, начисленные мне, не значили для меня ровным счетом ничего. Хорошо, подумал я, ну хоть спасибо сказали. На мой намек о том, что 200 бонусных рублей — это странно за баг о накрутке бонусных рублей — мне ответили, что они уже занимаются проблемой, попросив меня не переживать о Билайн так сильно.
Мораль поста: Я не обвиняю Билайн в жлобстве или чем-то еще, так как они ничего никому не должны. Тем не менее, мне удалось получить примерную шкалу стоимости брешей.
Подтверждено:
1) Баг с бесконечной накруткой бонусных рублей (интернета) — 200 бонусных рублей;
Мои догадки:
2) Взлом сайта компании — 400 бонусных рублей;
3) Слив данных всех клиентов — 500 бонусных рублей.
Помогать данному мобильному оператору с закрытием брешей или не помогать — выбор каждого, и дело не в награде. В моем случае я обязательно помогу им снова, если они хотя бы прислушаются к моим тикетам о зоне покрытия. К сожалению, этого пока не произошло. Но даже несмотря на это, Билайн был и остается лучшим оператором в моем городе, уходить мне от него некуда, остается только ждать.
P.S.: Билайн уже изменил условия бонусной программы. Баг закрыт.
Комментарии (32)
kmx
30.10.2015 10:53В сети давно гуляет эта уязвимость, еще с год назад встречал упоминания.
MagicPotato
30.10.2015 15:52-1В свое время беглый гуглеж не дал мне ничего конкретного. Если усердно искать, не исключаю, что можно найти. В любом случае о баге если и знали, то знали единицы, и скорее всего просто поторговывали бонусами.
kmx
30.10.2015 17:27Тык, на первой же страницы есть результаты об этом баге, датированные еще весной 2015 года
MagicPotato
30.10.2015 17:55Возможно у меня гугл персонализировал выдачу. В выдаче что то похожее действительно есть. Идея та же, согласен. Но все так или иначе платят комиссию, или выпускают карту Beeline World. Кроме темы с билетами РЖД, но она тоже не самая удобная.
solalex
30.10.2015 10:55Подобную схему можно провернуть и с какими-нибудь сервисами кешбека. Например возврат за покупки на алиекспресс. Нужно только договориться с продавцом, что он ничего не высылает, а через пару недель делает возврат денег.
vasimv
30.10.2015 11:21+2Не выйдет, возврат денег за покупку — оформляется как отмена операции покупки, Вы просто cash back никакой за эту операцию не получите.
BelBES
30.10.2015 11:35+1Мало над билайном поглумились по поводу их Big Data конкурса… теперь еще и их супер-промо-акции раскритиковали… бедный, бедный билайн ))
BelBES
30.10.2015 14:11+3DSL88 teamfighter
Да тут ребята на хабре развелкались как могли, кто автосолверу задачу скармливал, кто брутом брал барикады… в итоге конкурс как-то скоропостижно закончился вчера) И есть подозрение, что Билайн свою задачу по хантингу аналитика Big Data не решил этим конкурсом)
habrahabr.ru/post/269745
habrahabr.ru/post/269065
teamfighter
30.10.2015 12:44Может у них на bug bounty деньги закончились?
Интересно было бы услышать комментарии официального представителя компании, да.
DjOnline
30.10.2015 13:54Не хватает самого интересного куска, как изменили условия бонусной программы?
MagicPotato
30.10.2015 15:42По новым условиям платят за траты на услуги связи. Причем гвоздями прибито, что такое услуги связи. Т.е. контент провайдеры и т.п. не считаются услугами связи.
artoym
30.10.2015 14:14+1прислушаются к моим тикетам о зоне покрытия
Когда это случится — сообщите, а то мегафон и мтс игнорируют их абсолютно — перейду на Билайн.
Zzzuhell
30.10.2015 15:10+4Так это из-за вас условия программы поменяли! :)
Я пользуясь этой дырой, уже год за мобильный интернет и звонки не плачу (точнее плачу, но бонусами).
Но я «накрутками» не занимался. Просто платил с мобильного счета Билайн за квартиру через ruru. Комиссий там нет, ежемесячно платежей проходит примерно на 10000 руб = 1500 бонусов.
Но все хорошее когда-нибудь кончается…MagicPotato
30.10.2015 15:47Возможно и не из за меня, но я точно внес свой вклад в это) Мои извинения тем, кто знал про баг.
worldaround
30.10.2015 19:25Вторую половину статьи про жлобство писал жлоб. Заплатив бонусами за дырку в бонусах они просто пошутили.
mvs
30.10.2015 20:20+1Вся безопасность Билайна начинается и кончается только на бумаге. Ну и, может быть, ещё в бесполезных конкурсах для специалистов. А по факту остаётся чистейшей профанацией.
Про «банду сотрудников, дублировавших симкарты» уже писали. А я недавно с удивлением узнал, что получив смс о чьём-то входе в свой Личный кабинет, никак нельзя узнать, с какого IP-адреса, региона и устройства это произошло. Даже принудительно закрыть все сессии тоже нельзя. Максимум, что можно — сменить пароль для ЛК, как можно скорее.
ingumsky
30.10.2015 22:34Как вариант, это могло быть «ханипотом» — они знали, что есть такой вариант накрутки и могли видеть, кто им пользуется. Вряд ли таких людей было много, но они могли за ними присматривать внимательнее.
worldaround
30.10.2015 22:45Продолжая тему теории заговоров… Более вероятно что эта статья — реклама билайна, суть которой показать что билайн, обнаружив баг, может за 1 день изменить всю свою бизнес модель. Еще можно усугубить, предположив, что они сидели с готовым решением с первого дня и ждали этого момента, чтобы так красиво себя показать. Вряд ли все люди, которые хоть что-то понимают в арифметике, находятся за пределами компании.
Black_Shadow
01.11.2015 20:03Ага, и даже готовы (о ужас!) заплатить за репорт о дырке целых 200 рублей!
navion
31.10.2015 00:03Это не баг, а фича ;-)
Такие лазейки с возвратом постоянно находят у банков и активно ими пользуются, а когда нашедших решают проучить — они становятся поводом для эпичных срачей на банки.ру.
and7ey
31.10.2015 09:12Стандартное решение для всех подобных программ лояльности — ограничение по сумме бонусов, которые можно получить в месяц (т.е. да, схему с киви они бы не закрыли, но смысла в ней было бы уже мало). Странно, что Билайн, внедряя программу лояльности, не учел подобные схемы.
diabolo
31.10.2015 12:37+1Если бы вы не написали, мы бы и дальше продолжали пользоваться..(
А теперь бонусы начисляют только за потраченные на связь средства.
Но есть ЦМ бонус, но правда, не для всех;)
С другой стороны, какая разница, если мне уже больше года половина входящих не проходит?
Banzeg
Возможно, они уже были в курсе ваших «экспериментов»? Или репорт был анонимный?
MagicPotato
Репорт не анонимный, но он был спустя примерно день после обнаружения. Плюс суммы были незначительные, они не могли быть в курсе.