Авторизация
 
  • 12:54 – Лучше всех! 19 выпуск 28/05/2017 Первый Канал 
  • 12:52 – Как избавиться от косточки на ноге: советы народной медицины 
  • 12:52 – Ютуб самое просматриваемое видео на 25.05.2017: популярное на сегодняшний день 
  • 12:52 – Давай поженимся! (Первый Канал) выпуск 29.05.2017 смотреть онлайн 

Эксперт по компьютерной безопасности назвал «Яндекс.Такси» большой дырой

162.158.78.148

Эксперт по компьютерной безопасности назвал «Яндекс.Такси» большой дырой

Специалист по компьютерной безопасности и автор нескольких статей на «Хабрахабр», известный на сайте под псевдонимом lamamer, заявил о серьзных дырах в системе управления сервисом «Яндекс.Такси». Результаты проведенного исследования автор опубликовал в своем блоге.

Судя по данным, которые удалось получить в течение всего нескольких часов экспериментов, система управления «Яндекса» не отвечает даже базовым требованиям безопасности. Специалист утверждает, что смог легко получить полный доступ к компаниям-партнерам, водителям, истории заказов, заказчикам и даже актуальным заказам, выполняемым в данный момент.

Автор отметил, что при наличии неглубоких познаний в языке программирования Python можно не только просмотреть историю заказов и данные водителей, но и переманить самые ценные кадры из других компаний-перевозчиков в свою — используя личные сообщения или массовые рассылки.

Полученный доступ также можно использовать и в реализации криминальных схем. Например, история заказов с данными клиентов, находящаяся в открытом доступе, как любые другие данные, попадающие в базу «Яндекс.Такси», может быть применена злоумышленниками для составления обычного графика перемещений пассажиров.

Существует и более безобидное применение дыры в безопасности оператора. Данные о свежих заказах, получаемые в режиме онлайн, будут интересны самим компаниям-перевозчикам или водителями-одиночками без лицензии для перехвата клиентов. Обеспечив доступ к базе «Яндекса», можно устраивать так называемые замены автомобилей, фактически воруя заказы. Клиент при этом получает сообщение о новом водителе, а компания-исполнитель — отказ со стороны клиента.

Автор исследования уведомил специалистов «Яндекса» об обнаружении открытого доступа к базе данных системы.

Читать больше на lenta.ru


КОММЕНТАРИИ:

  • Читаемое
  • Сегодня
  • Комментируют
На правах рекламы
Мы в соцсетях
  • Twitter