[ad#alberto-schiabel-1]
Jake Cooper è un ragazzo di Victoria, Canada, con numerose esperienze lavorative in ambito informatico, nonostante la giovane età (anche in colossi come IBM). Amante della tecnologia e di Android, si era prenotato in lista per ottenere il nuovo OnePlus Two, per evitare di spendere 20$ su XDA acquistando l’invito da terzi, come aveva invece fatto per One. Ma il giovane programmatore si è ritrovato ad essere da #9000 a #70000, ha subito deciso di farsi giustizia.
Il sistema di queueing della casa produttrice cinese non si basa infatti sulla precedenza, bensì sullo spamming: più persone convinci ad acquistare il prodotto, più velocemente scali la graduatoria. E Jake, poco incline alla condivisione spam, ha deciso di arrangiarsi, facendo da sé e facendolo meglio.
You wanna dance OnePlus? Let’s dance.
Come ha fatto?
Prima di tutto si è resa necessaria una verifica manuale di presenza di qualche falla. Il coding viene sempre dopo, e generalmente lo si utilizza per automatizzare procedure.
Inizialmente il ragazzo, dopo essersi recato nella pagina degli inviti, ha iniziato ad inviare gli shared link a indirizzi email disponibili, grazie al servizio di Mailnator. Dopo 10 mail è arrivato a raggiungere quota #50000: molto meglio, ma ancora distante dai #9000 di partenza.
E qui arriva il bello: una volta aperto il debugger di Google Chrome, è stato possibile recuperare la request URL.
Nella seconda immagine, la stringa “test” è stata sostituita da “{{name}}”, altra stringa che ad ogni iterazione viene sostituita dall’indirizzo random di posta elettronica generato da uno script Python.
Una volta stabilito come inviare un numero potenzialmente illimitato di mail, vi è il problema di dover recuperare il corpo del messaggio: per fortuna Mailinator mette a disposizione dei propri clienti le sue API, che inizialmente richiedono l’importazione di tutta la mailbox, come da script in immagine.
Per accedere all’email voluta è obbligatorio usare l’ID, mentre per visualizzare il body basta effettuare una request della mail. Il tutto si traduce in neanche una decina di righe di codice, grazie alla potenza di Python e delle sue librerie offerte dalla community, oltre che alle API di Mailinator.
Un po’ di ricerca e utilizzo di Regular Expressions et voilà: ecco estratta anche l’URL di conferma, necessaria a validare l’invito.
Il risultato di tutto ciò? Da circa #70000, Jake è riuscito ad arrivare “fraudolentemente” al #1694. Ecco lo screenshot da lui postato:
Ad oggi, il giovane programmatore ha notificato la vulnerabilità su Twitter, ma deve ancora ricevere una risposta da OnePlus. Inoltre, circa quattro ore dopo il primo attacco, ha individuato un’altro modo di sfruttare la falla nel sistema di inviti. Ha però dichiarato di non voler fornire il proprio source code a nessuno (quelli resi pubblici sono solo piccoli snippet) se non all’azienda pronta al rilascio di Two.
Il profilo dell’audace White Hat hacker su Twitter è @RealJakeCooper, e se siete curiosi a riguardo dei suoi progetti e delle sue app Android potete dare un’occhiata al suo web site personale.
Ti piace vincere facile? Ponzi ponzi patapom! La filosofia è questa! Comunque, cosa si fa per risparmiare 20$ che sono nulla rispetto al prezzo finale!
Ma più che altro è sano di mente aderire a ste campagne che sono trucchetti di marketing piuttosto banali? La versione internettiana di: fai formare la coda al buttafuori pure se la disco dentro è vuota che l’effetto pecora è dietro l’angolo …
Per me sti giochetti sono un ottimo motivo per non acquistare in nessun caso un One two, altro che 20 dollari (e Stonex gli fa il paio …)
Può essere che però sia anche per una questione di principio: una persona che si iscrive ad una lista di inviti è perché non ha tempo e quindi la stessa persona non può avere il tempo di stare invece ad inviare e-mail e stare sui social a condividere gli inviti.
Ma ció non penso che giustifichi il fatto di hackerare il stema… Almeno… io la penso cosí!
Cosi invece avrà il tel gratis dalla OnePlus in cambio ?
Venti euro per avere un invito che, chi te lo manda, ha gratis. Saranno pochi, ma sono venti euro in più rispetto alla cifra per non far girare le balle!
Ahahahahaha pure a me, da bravo genovese ?
Questo è il massimo!
Da non credere… arrivare a piratare un sistema per pagare dei soldi, è geniale!
per non!
eehm… mi riferivo ai soldi dell’acquisto, non i 20$… ;))
Stonex mi piaceva poco all’inizio adesso mi piace ancora meno…
hanno infranto tutte le promesse… leggasi modding
La realtà è che le buone intenzioni ci sono, ma hanno parlato troppo e con troppo anticipo, hanno garantito cose di cui probabilmente non avevano piena certezza!
Mancava il benestare della OEM, in quanto a disponibilità dell’hardware… non saprei come altro spiegarmelo, diversamente sarebbe una bella presa in giro!
Io voglio credere che non l’abbia fatto solo per saltare la coda: questa azione gli ha procurato molta pubblicità, sicuramente avrà ricevuto anche qualche altra offerta di lavoro interessante….
Che dici?
Credo che questo “successo” non fosse premeditato, cioè: inizialmente il suo intento era riscattarsi dell’ingiustizia subita, e solo dopo avrà preso coscienza della possibilità di sfruttare l’evento.
Ma chi può averne la certezza?
In ogni caso, non condivido questo metodo di vendita, pur essendo proficuo a quanto pare, personalmente non farei la coda per prendere uno smartphone, manco fosse cibo?!
Si vero, questo sistema degli inviti (e della loro successiva rivendita da parte di terzi) già ai tempi del OP1 mi aveva fatto passare la voglia anche solo di valutarlo.
Ciononostante secondo me come trovata di marketing in generale non è male, chiaro però che il prodotto deve avere una certa originalità e soprattutto deve essere super testato e assolutamente perfetto, non si può metter su un teatrino del genere intorno a un zavaglio che di originale ha ben poco e al quale dopo qualche mese spuntano problemi hardware anche piuttosto seri, ci perdi in credibilità…
Comunque hai ragione, non volevo intendere che la sua impresa ha dell’incredibile, però ho messo insieme il suo bel curriculum (come dice l’articolo) e la pubblicità che gli ha fatto questa cosa, sicuramente gli darà qualche lustro in più in un colloquio di lavoro…
Probabilmente, si… ;)
queste campagne “spamma i tuoi amici se vuoi il regalino ” mi irritano pesantemente
Ha fatto bene
é stato davvero bravo… eticamente un po debolucca la motivazione.
Bhe eticamente c’è scritto che rivelerà il codice completo solonpalle azienda… Va premiato
mettiamola così… se io fossi uno di quelli che se “dannato” a rifilare spam a destra e manca non sarei molto edificato dal vedermi “sorpassato” con un “trucco”.
Non c’entra nulla ma mi è arrivato il cavo usb magnetico dalla cina. Stupendo!
C’entra ancora meno ma la nuova pomata per le emorroidi è eccezionale
Usala tutta allora…
Sticazzi
Affari tuoi
curioso… sono passati oggi a recapitarlo ma casa era “vuota”, lo vado a prendere giovedì in posta.
Io sono early member quindi mi arriverà lo stesso in tempi brevi. Chi lo vuole esca i 20€
“uscire” è un verbo intransitivo
Uscire è un verbo della “fabbrica “
Operai everywhere
Esci le tette (cit.)
Non esce mai le tette ci vuole pazienza
Non sei un operaio. Esempio “esci le tette”
sono al momento al numero 11320 ma non penso di prendere opo2
Ha fatto benissimo.
Gli altri spammano come coglioni per prendere sto op2? E mi superano benché io abbia prenotato prima di loro?
Eh no. É come se alla fila del baracchino uno passasse avanti solo perché urla che ha fretta.
E lui si é giustamente vendicato!
per chi volesse un invito: https://oneplus.net/it/invites?kolid=6GS3C
“oneplus è famosa per la qualità unita alle prestazioni” *ride*
Comunque ho appena dato nell altro articolo della ridicola ad htc, ma anche questi che vengono hackerati perché uno cambia 4 lettere nel debugger di chrome non sono meglio…
Il debugger di Chrome ha semplicemente fatto capire dove viaggiavano i dati, actually. Le automazioni di Python e le API Mailinator hanno invece fatto il resto