Авторизация
 
  • 11:27 – Видео 10-летней украинской девочки, читающей Коран, в считанные часы набрало более 50 тысяч просмотров 
  • 11:27 – Кукла-трансгендер с внешностью реальной девушки появилась в США 
  • 11:26 – Владимир Жириновский внезапно признался в любви к Порошенко и похвалил его 
  • 11:26 – Просто нелюдь: в Николаеве водитель маршрутки вышвырнул ребенка из салона и избил его мать 

Эксперт по компьютерной безопасности назвал «Яндекс.Такси» большой дырой

162.158.78.196

Эксперт по компьютерной безопасности назвал «Яндекс.Такси» большой дырой

Специалист по компьютерной безопасности и автор нескольких статей на «Хабрахабр», известный на сайте под псевдонимом lamamer, заявил о серьзных дырах в системе управления сервисом «Яндекс.Такси». Результаты проведенного исследования автор опубликовал в своем блоге.

Судя по данным, которые удалось получить в течение всего нескольких часов экспериментов, система управления «Яндекса» не отвечает даже базовым требованиям безопасности. Специалист утверждает, что смог легко получить полный доступ к компаниям-партнерам, водителям, истории заказов, заказчикам и даже актуальным заказам, выполняемым в данный момент.

Автор отметил, что при наличии неглубоких познаний в языке программирования Python можно не только просмотреть историю заказов и данные водителей, но и переманить самые ценные кадры из других компаний-перевозчиков в свою — используя личные сообщения или массовые рассылки.

Полученный доступ также можно использовать и в реализации криминальных схем. Например, история заказов с данными клиентов, находящаяся в открытом доступе, как любые другие данные, попадающие в базу «Яндекс.Такси», может быть применена злоумышленниками для составления обычного графика перемещений пассажиров.

Существует и более безобидное применение дыры в безопасности оператора. Данные о свежих заказах, получаемые в режиме онлайн, будут интересны самим компаниям-перевозчикам или водителями-одиночками без лицензии для перехвата клиентов. Обеспечив доступ к базе «Яндекса», можно устраивать так называемые замены автомобилей, фактически воруя заказы. Клиент при этом получает сообщение о новом водителе, а компания-исполнитель — отказ со стороны клиента.

Автор исследования уведомил специалистов «Яндекса» об обнаружении открытого доступа к базе данных системы.

Читать больше на lenta.ru


КОММЕНТАРИИ:

  • Читаемое
  • Сегодня
  • Комментируют
На правах рекламы
Мы в соцсетях
  • Twitter