Расширенный поиск

Уязвимость в программном обеспечении от «Росинфотех», приобретенном «Яндесом» этой зимой «Яндексом» за один миллиард рублей для использования в своем такси-сервисе, позволяла получить всю базу данных таксистов компании, включая их мобильные номера, сведения о рейтингах, лицензиях и автомобильных правах.

С помощью этой информации злоумышленники могли изменять данные о полученных заказах, переводя их на машины сторонних таксистов.

Как заявил пользователь под ником Lamamer, обнаруживший данную уязвимость, проблема заключалась в том, что сервис «Рос.Такси» не обладал какой-либо защитой от несанкционированного доступа, и представлял собой «простой просмотрщик записей в БД (база данных — прим.ред)».

Известно, что каждый пользователь этого программного обеспечения обладал собственным UUID (уникальным идентификатором), узнав который, любой желающий мог через обычный веб-браузер, не проходя процесс авторизации, получить доступ к любой информации о клиенте этого ПО.

При этом, киберпреступник, получив доступ к личному кабинету пользователя сервиса и зная номер заказа, мог переманивать клиентов «Яндекс.Такси» в сторонние такси-службы.

Если злоумышленник собирался передать заказ другому водителю, то на номер первой машины приходило сообщение об отмене поездки, а клиенту приходило уведомление о том, что его заберет другой таксист.

Кроме того, по заявлению Lamamer’a, с помощью уязвимости можно было организовать массовую спам-рассылку таксистам, предлагающую к примеру перейти на работу в другую компанию.

На данный момент «Яндекс» уже знает об этой «дыре», и по заявлению пресс-службы, проблема устранена. От более подробных комментариев представители компании отказались.

Напомним, что «Яндекс.Такси» — это онлайн-сервис, позволяющий через интернет заказать машину и работающий с крупными российским таксомоторными службами. При желании, пользователи могут выбрать ценовую категорию заказа — машины класса «эконом», «стандарт», «бизнес», а также выбрать отдельные характеристики (наличие кондиционера, машина для некурящих и тп.).

За первый квартал этого года выручка «Яндекс.Такси», по словам гендиректора компании Александра Шульгина, утроилась по сравнению с аналогичным промежутком времени в 2014 году.

Стоит отметить, что проблемы с уязвимостями находят не только в онлайн-сервисе поискового гиганта. К примеру, в декабре прошлого года была открыта дыра на сайте Uber, благодаря чему хакеры могли получить практически полную личную информацию о клиентах американского такси-сервиса.

Кроме того, в мае 2014 года, Uber признала, что злоумышленники смогли похитить информацию (имена и номера лицензий) более 50 тысяч американских водителей, использующих этот сервис для заработка.

Чтобы сгладить последствия от этой утечки, компании пришлось предоставить всем пострадавшим бесплатную годовую подписку на сервис ProtectMyID, позволяющий бороться с подобными хищениями личной информации.

Об авторе

Digital Report

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend
Перейти к верхней панели