Интернет и СМИ
18:16, 5 июня 2015

Эксперт по компьютерной безопасности назвал программу «Яндекса» для такси большой дырой

Фото: Антон Белицкий / Russian Look
Продолжение: Автор поста об уязвимости ПО «Яндекса» для такси сообщил о взломе своего аккаунта

Специалист по компьютерной безопасности и автор нескольких статей на «Хабрахабр», известный на сайте под псевдонимом lamamer, заявил о серьезных дырах в системе управления таксопарками, приобретенной «Яндексом». Результаты проведенного исследования автор опубликовал в своем блоге.

Узнайте больше в полной версии ➞

Судя по данным, которые удалось получить в течение всего нескольких часов экспериментов, система управления таксопарком компании «Росинфотех», которую приобрел «Яндекс» не отвечает даже базовым требованиям безопасности. Специалист утверждает, что смог легко получить полный доступ к компаниям-партнерам, водителям, истории заказов, заказчикам и даже актуальным заказам, выполняемым в данный момент.

Автор отметил, что при наличии неглубоких познаний в языке программирования Python можно не только просмотреть историю заказов и данные водителей, но и представить все интересующие данные в удобном для просмотра виде.

Полученный доступ также можно использовать и в реализации криминальных схем. Например, история заказов с данными клиентов, находящаяся в открытом доступе, как любые другие данные, попадающие в базу системы управления таксопарками, может быть применена злоумышленниками для составления обычного графика перемещений пассажиров.

Существует и более безобидное применение дыры в безопасности оператора. Данные о свежих заказах, получаемые в режиме онлайн, будут интересны самим компаниям-перевозчикам или водителями-одиночкам без лицензии для перехвата клиентов. Обеспечив доступ к базе таксопарков «Росинфотеха», можно устраивать так называемые замены автомобилей, фактически воруя заказы. Клиент при этом получает сообщение о новом водителе, а компания-исполнитель — отказ со стороны клиента.

Автор исследования уведомил специалистов «Яндекса» об обнаружении открытого доступа к базе данных системы.

Поправка

В новости «Эксперт по компьютерной безопасности назвал "Яндекс.Такси" большой дырой» ошибочно названа сервисом «Яндекс.Такси» система компании «Росинфотех», предназначенная для использования диспетчерами и водителями, которую ранее купил «Яндекс». Она не связана непосредственно с «Яндекс.Такси». К ней могут быть подключены таксопарки даже в регионах, где сервис «Яндекса» не работает, а базы «Яндекс.Такси» не во всех регионах подключены к системе «Росинфотеха». Название новости исправлено на более корректное.

«Лента.ру» приносит извинения своим читателям.

< Назад в рубрику