一个北美免费订机票酒店的bug

I’ve never order the ticket that way. I’m not responsible to any risk on law.
本文只是探讨,关于可能的法律风险/砍单/封号不承担任何可能的责任。
最近看到一个网站upside,订机票酒店package最多返300 amazon gift card。现在输入promotion code:tpg 可以拿到至少200的礼品卡。有一个能拿210的套路,我最后说,这不是最重点。
但是按理说我们机票加上酒店,一去三五天,就机票来回200,酒店一天一百,那也谈不上免费吧,虽然给200的礼品卡已经很优惠了,但,还有更多的套路。
在这个网站的界面里面,如果你选定了来回机票的时间,那么酒店的时间也就这么确定了,和你机票时间保持一致。
但是,实际机票和酒店都是可以随意组合的,除了机票必须往返程,其他没要求。机票可以是jetblue,aa,ua三家。可以知道,很多机票的往返价格是100左右,如果再加一个任意时间任意地点的酒店一天,可以控制不超过100,这样就可以控制在200块钱了。
那么怎么来呢?套路就在于upside网站的post数据没有加密,可以用fiddler或者burpsuite之类的软件修改。
首先是机票的出发地和目的地,机票的时间, 这个在一开始的界面填写就好。然后是酒店的时间,地点。这里面有几个参数:时间(酒店入住,酒店离开两个时间),latitude,longitude(可以google map->右键点击->what is here就出现了),需要输好几遍。其实在最后酒店页面直接输你想要预定的那个酒店地址(事先在booking上查好几个想要的酒店),然后在burpsuite直接改时间就行,地址就是你酒店的地址了。
我相信他的下订单,redeem gift code都是系统自动完成的(几乎是马上,不相信人工审核那么快)。所以如果小量应该不会发现,但是一个账户很多的话估计会有风控,所以,嗯。我说完了。
最后,如果他出现5个酒店,选第三便宜的酒店, 这样最后页面有一个alternative choice,说如果你选最便宜的酒店给$210礼品卡。那么如果最便宜的酒店不是我想要的呢?这里明显看出来upside的算法有问题,基本上最便宜的酒店都是你想要的。为啥会这样呢?我猜测可能是因为不是刻意找的话,upside不会匹配特别便宜的酒店,但是如果你具体到酒店地址,还是会出现这个酒店的。