« hacker » est un bien vilain mot, dans ce cas précis. Et pourtant, un développeur frustré par le système d’invitations de OnePlus a décidé de tricher. Comment ? C’est ce qu’il nous explique dans un article sur Medium.

1-v4EjK9ofnWjQnd1FF5AeyQ

Le système d’invitations de OnePlus a évolué cette année. Il s’agit désormais d’une liste d’attente où vous pouvez gagner des places en fonction de votre activité, en invitant des amis par e-mail ou en partageant une URL personnalisée : c’est un système dit « viral ». Mais ce n’est pas du goût de tout le monde, surtout lorsque l’on se trouve dans les méandres dans la file d’attente.

Jake n’est pas le plus patient des développeurs, à l’époque il avait même payé 20 dollars auprès d’un membre du forum XDA pour un ticket afin d’obtenir un OnePlus One. Pour le OnePlus 2, il avait tenté d’être le plus réactif possible en s’enregistrant… dans le TOP 9000. Une nuit après, surprise, il s’est retrouvé dans le TOP 70 000.

Il a donc décidé d’utiliser simplement le système de débogage de Chrome, qui permet aux développeurs d’accéder à de nombreux outils basiques. Après s’être plaint auprès de OnePlus, sans obtenir de réponse, il a ainsi pu extraire l’URL d’invitation (voir première capture plus haut) qui permet de soumettre des e-mails invités, et donc de gagner des places dans le système. Avec le service Jmailinator.com (qui fournit des API complètes), il a pu créer des e-mails à la volée, et a ainsi rentré manuellement quelques adresses e-mails afin de gagner des places. Néanmoins, cela ne suffisait pas pour grimper suffisamment dans la liste d’attente. Il a donc réalisé un script en Python.

Capture d’écran 2015-08-04 à 10.14.10

Et cela a fonctionné à merveille, comme vous pouvez le voir dans la capture ci-dessous.

1-1zRQtTlaAjenoyEpX_1FHg

Au final, Jake a décidé d’en parler publiquement, pour dénoncer ce système d’invitations absurde qui fait la part belle au viral, au détriment de l’humain. En attendant, cette astuce partagée par Jake nous permet de nous rendre compte que la demande est sûrement inférieure aux « pré-commandes » affichées par OnePlus, et dépassant 1,5 million.

On ne peut pas parler de fraude massive sans preuve, néanmoins Jake nous fourni déjà un exemple. Vu la simplicité d’accès à cette faille, on imagine que ce n’est pas le seul à l’avoir utilisée.