Авторизация
 
  • 12:59 – «У них там своя атмосфера»: во Флориде американца арестовали за блинчики 
  • 12:59 – Михаил Саакашвили опубликовал первые фото со съемок своей передачи 
  • 12:59 – Мужское / женское последний выпуск (28.03.2017) смотреть онлайн 
  • 12:59 – Наедине со всеми на Первом выпуск 28.03.2017 смотреть онлайн 

Эксперт по компьютерной безопасности назвал «Яндекс.Такси» большой дырой

162.158.79.113

Эксперт по компьютерной безопасности назвал «Яндекс.Такси» большой дырой

Специалист по компьютерной безопасности и автор нескольких статей на «Хабрахабр», известный на сайте под псевдонимом lamamer, заявил о серьзных дырах в системе управления сервисом «Яндекс.Такси». Результаты проведенного исследования автор опубликовал в своем блоге.

Судя по данным, которые удалось получить в течение всего нескольких часов экспериментов, система управления «Яндекса» не отвечает даже базовым требованиям безопасности. Специалист утверждает, что смог легко получить полный доступ к компаниям-партнерам, водителям, истории заказов, заказчикам и даже актуальным заказам, выполняемым в данный момент.

Автор отметил, что при наличии неглубоких познаний в языке программирования Python можно не только просмотреть историю заказов и данные водителей, но и переманить самые ценные кадры из других компаний-перевозчиков в свою — используя личные сообщения или массовые рассылки.

Полученный доступ также можно использовать и в реализации криминальных схем. Например, история заказов с данными клиентов, находящаяся в открытом доступе, как любые другие данные, попадающие в базу «Яндекс.Такси», может быть применена злоумышленниками для составления обычного графика перемещений пассажиров.

Существует и более безобидное применение дыры в безопасности оператора. Данные о свежих заказах, получаемые в режиме онлайн, будут интересны самим компаниям-перевозчикам или водителями-одиночками без лицензии для перехвата клиентов. Обеспечив доступ к базе «Яндекса», можно устраивать так называемые замены автомобилей, фактически воруя заказы. Клиент при этом получает сообщение о новом водителе, а компания-исполнитель — отказ со стороны клиента.

Автор исследования уведомил специалистов «Яндекса» об обнаружении открытого доступа к базе данных системы.

Читать больше на lenta.ru


КОММЕНТАРИИ:

  • Читаемое
  • Сегодня
  • Комментируют
На правах рекламы
Мы в соцсетях
  • Twitter