Главная → НовостиНовостиНовости, 201506Новости, 201506 → Через «дыру» в ПО у «Яндекс.Такси» воровали заказы и переманивали водителей

Через «дыру» в ПО у «Яндекс.Такси» воровали заказы и переманивали водителей

Сервис для управления таксопарком «Рос.Такси», приобретенный «Яндексом» у компании «Росинфотех» содержал серьезную уязвимость. Об этом в своем блоге на Habrahabr рассказал пользователь Lamamer.

КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

Сети :: [Профессиональные] | [Зарубежные] | [Тематические] | [Молодежные] | [Детские] | [Купоны] | [Прочее]

Категории (метки) :: Авто | Музыка | Книги | Хобби | Профессии | Сообщества | Семья | Бизнес | Регионы | Спорт | Статусы

«Росинфотех» производит ПО для координации работы таксомоторных парков и является автором приложения «Таксометр» для таксистов-водителей, обеспечивающего подсчет стоимости поездки и связь водителей с диспетчерской.

На момент приобретения «Яндексом», по данным самого поисковика, через «Рос.Такси» и так уже было подключено 70% машин, работающих с ««Яндекс.Такси», и обслуживалось 60% заказов «Яндекс.Такси».

Каждый пользователь ПО «Рос.Такси» (таксопарки и водители) имеет уникальный идентификатор — UUID. Зная UUID пользователя, можно в веб-браузере, без авторизации получить о нем всю информацию.

По утверждению Lamamer, UUID всех компаний-пользователей данного ПО можно узнать путем просмотра исходного кода страницы (командой Ctrl+U в браузере Chrome). Кроме того, посредством анализа запросов приложения «Таксометр» также можно найти адрес страницы, на которой доступны UUID таксопарков.

С помощью простого скрипта ему удалось свести в базу данных «всех водителей «Яндекс.Такси» во всех городах (не только в Москве) с их телефонами, рейтингами, номерами прав, лицензий, балансами счета и прочей приватной информацией».


Демонстрация доступа к данным водителей чужих таксопарков

«Так я получил вещественное доказательство более чем двухлетним подозрениям моего друга о воровстве водителей», — пишет Lamamer.

Lamamer утверждает, что ему удалось найти страницу, где без авторизации можно просматривать все текущие заказы «Яндекс.Такси», включая информацию об их ID, водителе, статусе заказа, адресе подачи и др.

Наконец, Lamamer пишет, что имея доступ к личному кабинету пользователя «Рос.Такси» и зная ID-заказов, компания-таксопарк может перехватывать заказы конкурентов и переманивать клиентов. Для водителя этот перехват будет выглядеть как отмена заказа, для клиента — как «пришла другая машина». Еще одна доступная возможность: осуществление широковещательной рассылки водителям, например, с целью отправки им предложений о работе.


Демонстрация доступа к логу заказов такси

Lamamer утверждает, что уведомил «Яндекс» о найденных им уязвимостях. Представительница пресс-службы «Яндекса» Элина Ставиская сообщили CNews, что данная проблема уже решена, при этом карточки клиентов (пассажиров «Яндекс.Такси») не находились под угрозой. От более подробных комментариев в «Яндексе» отказались.

Напомним, общая объем сделки по покупке «Яндексом» компании «Рос.Такси» составляет сумму до i1 млрд. Половина этих денег будет выплачена наличными, причем i380 млн — не в момент совершения сделки, а позднее при условии успешной технической интеграции приобретенного ПО и перевода его клиентской базы. Оставшиеся i500 млн будут выплачены в виде акций «Яндекса» через три года после совершения сделки при условии достижения приобретенной компанией ряда показателей.

Главная → НовостиНовостиНовости, 201506Новости, 201506 → Через «дыру» в ПО у «Яндекс.Такси» воровали заказы и переманивали водителей

В России со второй попытки отрегулируют обезличенные данные

Минкомсвязи подготовило законопроект, который введет в правовое поле понятия «обезличенные персональные данные» и «обезличенные данные», а также установит требования к их обработке. Одновременно законопроект разрешит давать одно согласие на обработку...

Европейские регуляторы: Microsoft, мы следим за тобой

Если в результате расследования будет сделан вывод, что Microsoft нарушает GDPR, последствия могут быть самыми серьезными – вплоть до штрафа в миллиарды долларов и требования изменить порядок сбора и использования данных операционной системой ...

Firefox станет обновляться в два раза чаще, чтобы не отставать от Google Chrome

Интервал между выпусками релизов Firefox станет стандартным для рынка и будет составлять четыре недели, в то время как сейчас он варьируется от шести до восьми недель. Mozilla надеется таким образом догнать Google Chrome по скорости адаптации Web API...

Во Франции Google оштрафовали на миллиард евро

09:50 16.09.2019...

У властей просят 133 миллиарда на роботов, чтобы Россия за шесть лет догнала Запад

Российские разработчики в области роботехники и сенсорики существенно отстают от зарубежных, пришли к выводу авторы соответствующей дорожной карты для нацпрограммы «Цифровая экономика». Однако отставание можно сократить за счет научно-технического по...

[Популярные социальные сети] [*Добавить сайт]

Нравится

Группы: ВК | FB | Tw | G+ | OK

Рубрики | КАТАЛОГ | Новости | Контакты |