Главная → НовостиНовостиНовости, 201506Новости, 201506 → Через «дыру» в ПО у «Яндекс.Такси» воровали заказы и переманивали водителей

Через «дыру» в ПО у «Яндекс.Такси» воровали заказы и переманивали водителей

Сервис для управления таксопарком «Рос.Такси», приобретенный «Яндексом» у компании «Росинфотех» содержал серьезную уязвимость. Об этом в своем блоге на Habrahabr рассказал пользователь Lamamer.

КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

Сети :: [Профессиональные] | [Зарубежные] | [Тематические] | [Молодежные] | [Детские] | [Купоны] | [Прочее]

Категории (метки) :: Авто | Музыка | Книги | Хобби | Профессии | Сообщества | Семья | Бизнес | Регионы | Спорт | Статусы

«Росинфотех» производит ПО для координации работы таксомоторных парков и является автором приложения «Таксометр» для таксистов-водителей, обеспечивающего подсчет стоимости поездки и связь водителей с диспетчерской.

На момент приобретения «Яндексом», по данным самого поисковика, через «Рос.Такси» и так уже было подключено 70% машин, работающих с ««Яндекс.Такси», и обслуживалось 60% заказов «Яндекс.Такси».

Каждый пользователь ПО «Рос.Такси» (таксопарки и водители) имеет уникальный идентификатор — UUID. Зная UUID пользователя, можно в веб-браузере, без авторизации получить о нем всю информацию.

По утверждению Lamamer, UUID всех компаний-пользователей данного ПО можно узнать путем просмотра исходного кода страницы (командой Ctrl+U в браузере Chrome). Кроме того, посредством анализа запросов приложения «Таксометр» также можно найти адрес страницы, на которой доступны UUID таксопарков.

С помощью простого скрипта ему удалось свести в базу данных «всех водителей «Яндекс.Такси» во всех городах (не только в Москве) с их телефонами, рейтингами, номерами прав, лицензий, балансами счета и прочей приватной информацией».


Демонстрация доступа к данным водителей чужих таксопарков

«Так я получил вещественное доказательство более чем двухлетним подозрениям моего друга о воровстве водителей», — пишет Lamamer.

Lamamer утверждает, что ему удалось найти страницу, где без авторизации можно просматривать все текущие заказы «Яндекс.Такси», включая информацию об их ID, водителе, статусе заказа, адресе подачи и др.

Наконец, Lamamer пишет, что имея доступ к личному кабинету пользователя «Рос.Такси» и зная ID-заказов, компания-таксопарк может перехватывать заказы конкурентов и переманивать клиентов. Для водителя этот перехват будет выглядеть как отмена заказа, для клиента — как «пришла другая машина». Еще одна доступная возможность: осуществление широковещательной рассылки водителям, например, с целью отправки им предложений о работе.


Демонстрация доступа к логу заказов такси

Lamamer утверждает, что уведомил «Яндекс» о найденных им уязвимостях. Представительница пресс-службы «Яндекса» Элина Ставиская сообщили CNews, что данная проблема уже решена, при этом карточки клиентов (пассажиров «Яндекс.Такси») не находились под угрозой. От более подробных комментариев в «Яндексе» отказались.

Напомним, общая объем сделки по покупке «Яндексом» компании «Рос.Такси» составляет сумму до i1 млрд. Половина этих денег будет выплачена наличными, причем i380 млн — не в момент совершения сделки, а позднее при условии успешной технической интеграции приобретенного ПО и перевода его клиентской базы. Оставшиеся i500 млн будут выплачены в виде акций «Яндекса» через три года после совершения сделки при условии достижения приобретенной компанией ряда показателей.

Главная → НовостиНовостиНовости, 201506Новости, 201506 → Через «дыру» в ПО у «Яндекс.Такси» воровали заказы и переманивали водителей

«Одноклассники» запустили рейтинг фотографий пользователей

В социальной сети «Одноклассники» появился новый сервис, с помощью которого пользователи могут посмотреть самые популярные фотографии своего профиля и друзей. Сервис «Лучшие фото» поможет пользователям вспомнить яркие моменты своей жизни и поделиться...

Facebook запускает криптовалюту, которая может заменить деньги

Компания Facebook запустила веб-сайт libre.org, посвященный собственной криптовалюте Libra. Старт проекта, основанного, как и биткоин, на технологии блокчейн (в данном случае используется платформа Libre Network), намечен на I полугодие 2020 г....

Вот-вот будут представлены 5 из 25 государственных суперсервисов. Какие из них будут первыми?

Минкомсвязи России утвердило список первых пяти суперсервисов (цифровых комплексных услуг, привязанных к той или иной жизненной ситуации), которыми смогут воспользоваться жители России. Их модели появятся в свободном доступе до конца июня 2019 г....

Российский корпоративный мессенджер PostLink адаптировали под отечественную мобильную ОС

Мессенджер PostLink стал первым российским корпоративным ПО такого типа с реализацией голосовых вызовов под мобильную ОС «Аврора» (ранее – Sailfish). ...

[Популярные социальные сети] [*Добавить сайт]

Нравится

Группы: ВК | FB | Tw | G+ | OK

Рубрики | КАТАЛОГ | Новости | Контакты |