Через «дыру» в ПО у «Яндекс.Такси» воровали заказы

Через «дыру» в ПО у «Яндекс.Такси» воровали заказы
8 Июня 2015

Сервис для управления таксопарком «Рос.Такси», приобретенный «Яндексом» у компании «Росинфотех» содержал серьезную уязвимость.  

Об этом в своем блоге на Habrahabr рассказал пользователь Lamamer.

«Росинфотех» производит ПО для координации работы таксомоторных парков и является автором приложения «Таксометр» для таксистов-водителей, обеспечивающего подсчет стоимости поездки и связь водителей с диспетчерской.

На момент приобретения «Яндексом», по данным самого поисковика, через «Рос.Такси» и так уже было подключено 70% машин, работающих с ««Яндекс.Такси», и обслуживалось 60% заказов «Яндекс.Такси».

Каждый пользователь ПО «Рос.Такси» (таксопарки и водители) имеет уникальный идентификатор — UUID. Зная UUID пользователя, можно в веб-браузере, без авторизации получить о нем всю информацию.

По утверждению Lamamer, UUID всех компаний-пользователей данного ПО можно узнать путем просмотра исходного кода страницы (командой Ctrl+U в браузере Chrome). Кроме того, посредством анализа запросов приложения «Таксометр» также можно найти адрес страницы, на которой доступны UUID таксопарков.

С помощью простого скрипта ему удалось свести в базу данных «всех водителей «Яндекс.Такси» во всех городах (не только в Москве) с их телефонами, рейтингами, номерами прав, лицензий, балансами счета и прочей приватной информацией».

«Так я получил вещественное доказательство более чем двухлетним подозрениям моего друга о воровстве водителей», — пишет Lamamer.

Lamamer утверждает, что ему удалось найти страницу, где без авторизации можно просматривать все текущие заказы «Яндекс.Такси», включая информацию об их ID, водителе, статусе заказа, адресе подачи и др.

Наконец, Lamamer пишет, что имея доступ к личному кабинету пользователя «Рос.Такси» и зная ID-заказов, компания-таксопарк может перехватывать заказы конкурентов и переманивать клиентов. Для водителя этот перехват будет выглядеть как отмена заказа, для клиента — как «пришла другая машина». Еще одна доступная возможность: осуществление широковещательной рассылки водителям, например, с целью отправки им предложений о работе.

Lamamer утверждает, что уведомил «Яндекс» о найденных им уязвимостях. Представительница пресс-службы «Яндекса» Элина Ставиская сообщили CNews, что данная проблема уже решена, при этом карточки клиентов (пассажиров «Яндекс.Такси») не находились под угрозой. От более подробных комментариев в «Яндексе» отказались.

Напомним, общая объем сделки по покупке «Яндексом» компании «Рос.Такси» составляет сумму до 1 млрд. Половина этих денег будет выплачена наличными, причемi380 млн — не в момент совершения сделки, а позднее при условии успешной технической интеграции приобретенного ПО и перевода его клиентской базы. Оставшиеся 500 млн будут выплачены в виде акций «Яндекса» через три года после совершения сделки при условии достижения приобретенной компанией ряда показателей.

Источник


1
Станислав Швагерус
Из этой истории вытекают два вопроса:
1.Организация транспортного обслуживания населения легковым такси и тем более транспортная безопасность - ЭТО ПОЛНОМОЧИЯ И ОТВЕТСТВЕННОСТЬ ГОСУДАРСТВА. Почему в сфере приема заказов на предоставление транспортного средства на перевозку пассажиров легковым такси государство пустило на самотек вопросы безопасности, за которые оно отвечает?
2. Если уж у Яндекса с многомиллиардным бюджетом дырявое ПО, то что же творится с уже огромным количеством ПО диспетчерских служб и приложений по вызову такси меньшего калибра?....
0
Сергей Марценюк
В государственных системах дырок не меньше.
Писать об этом не принято только.
А специалисты хорошо это знают.
0
Алексей Гусев
Цитата
Швагерус Станислав написал:
1.Организация транспортного обслуживания населения легковым такси и тем более транспортная безопасность - ЭТО ПОЛНОМОЧИЯ И ОТВЕТСТВЕННОСТЬ ГОСУДАРСТВА. Почему в сфере приема заказов на предоставление транспортного средства на перевозку пассажиров легковым такси государство пустило на самотек вопросы безопасности, за которые оно отвечает?
Абсолютно верно, Станислав Евгеньевич! Только кому этот вопрос адресован?

Общественный совет по развитию такси 

Присоединяйтесь к нам в соц.сетях

taxilife в twitter vkontakte  odnoklassniki

 

Горячие новости такси

  Хочешь больше новостей? Жми! 
Рейтинг@Mail.ru