Через «дыру» в ПО у «Яндекс.Такси» воровали заказы

Через «дыру» в ПО у «Яндекс.Такси» воровали заказы 08.06.2015

Сервис для управления таксопарком «Рос.Такси», приобретенный «Яндексом» у компании «Росинфотех» содержал серьезную уязвимость.  


Об этом в своем блоге на Habrahabr рассказал пользователь Lamamer.


«Росинфотех» производит ПО для координации работы таксомоторных парков и является автором приложения «Таксометр» для таксистов-водителей, обеспечивающего подсчет стоимости поездки и связь водителей с диспетчерской.

На момент приобретения «Яндексом», по данным самого поисковика, через «Рос.Такси» и так уже было подключено 70% машин, работающих с ««Яндекс.Такси», и обслуживалось 60% заказов «Яндекс.Такси».


Каждый пользователь ПО «Рос.Такси» (таксопарки и водители) имеет уникальный идентификатор — UUID. Зная UUID пользователя, можно в веб-браузере, без авторизации получить о нем всю информацию.


По утверждению Lamamer, UUID всех компаний-пользователей данного ПО можно узнать путем просмотра исходного кода страницы (командой Ctrl+U в браузере Chrome). Кроме того, посредством анализа запросов приложения «Таксометр» также можно найти адрес страницы, на которой доступны UUID таксопарков.


С помощью простого скрипта ему удалось свести в базу данных «всех водителей «Яндекс.Такси» во всех городах (не только в Москве) с их телефонами, рейтингами, номерами прав, лицензий, балансами счета и прочей приватной информацией».

«Так я получил вещественное доказательство более чем двухлетним подозрениям моего друга о воровстве водителей», — пишет Lamamer.


Lamamer утверждает, что ему удалось найти страницу, где без авторизации можно просматривать все текущие заказы «Яндекс.Такси», включая информацию об их ID, водителе, статусе заказа, адресе подачи и др.


Наконец, Lamamer пишет, что имея доступ к личному кабинету пользователя «Рос.Такси» и зная ID-заказов, компания-таксопарк может перехватывать заказы конкурентов и переманивать клиентов. Для водителя этот перехват будет выглядеть как отмена заказа, для клиента — как «пришла другая машина». Еще одна доступная возможность: осуществление широковещательной рассылки водителям, например, с целью отправки им предложений о работе.


Lamamer утверждает, что уведомил «Яндекс» о найденных им уязвимостях. Представительница пресс-службы «Яндекса» Элина Ставиская сообщили CNews, что данная проблема уже решена, при этом карточки клиентов (пассажиров «Яндекс.Такси») не находились под угрозой. От более подробных комментариев в «Яндексе» отказались.


Напомним, общая объем сделки по покупке «Яндексом» компании «Рос.Такси» составляет сумму до 1 млрд. Половина этих денег будет выплачена наличными, причем 380 млн — не в момент совершения сделки, а позднее при условии успешной технической интеграции приобретенного ПО и перевода его клиентской базы. Оставшиеся 500 млн будут выплачены в виде акций «Яндекса» через три года после совершения сделки при условии достижения приобретенной компанией ряда показателей.


Источник