1. Коллеги, подключайтесь к нашему каналу ZELLO "На бордюре". Общайтесь, делитесь, опытом, получайте помощь. Больше информации в этой теме
    Скрыть объявление

Россия. «Дыра» в ПО позволяла воровать заказы и переманивать водителей «Яндекс.Такси»

Тема в разделе "Новости такси", создана пользователем bot, 7 июн 2015.

  1. bot

    bot Пользователь

    Регистрация:
    6 ноя 2013
    Сообщения:
    484
    Симпатии:
    11
    Вчера, 5 июня, один из пользователей «Хабрахабра» под псевдонимом lamamer сообщил о том, что ему удалось обнаружить серьезную уязвимость в интернет-сервисе компании «Яндекс».

    Спустя менее, чем через сутки владелец учетной записи сообщил, что его страница была взломана, а о данной статье он «с удивлением узнал от коллег».

    Отметим, что речь идет о программном обеспечении службы «Яндекс,Такси», позволявшим неавторизованному пользователю получить доступ к конфиденциальной информации и личным данным водителей, а также компаний, в которых они работают.

    «Рейтинги, когда сдавал экзамены такси, номера прав итп — все видно. Информация о любом водителе доступна по урлу с UUID», - подчеркивал исследователь.

    В комментариях к публикации также появились представители отечественного поисковика, по словам которых, уязвимость уже устранена и в настоящий момент проводится аудит безопасности.

    Сервис для управления таксопарком «Рос.Такси», приобретенный «Яндексом» у компании «Росинфотех» содержал серьезную уязвимость.

    «Росинфотех» производит ПО для координации работы таксомоторных парков и является автором приложения «Таксометр» для таксистов-водителей, обеспечивающего подсчет стоимости поездки и связь водителей с диспетчерской.

    На момент приобретения «Яндексом», по данным самого поисковика, через «Рос.Такси» и так уже было подключено 70% машин, работающих с ««Яндекс.Такси», и обслуживалось 60% заказов «Яндекс.Такси».

    Каждый пользователь ПО «Рос.Такси» (таксопарки и водители) имеет уникальный идентификатор — UUID. Зная UUID пользователя, можно в веб-браузере, без авторизации получить о нем всю информацию.
     

Поделиться этой страницей