Авторизация
 
  • 05:42 – Битва экстрасенсов 10.12.2016 (10 декабря 2016): 17 сезон 15 серия смотреть онлайн – покойник в доме 
  • 05:42 – Биатлон гонка преследования женщины 10 12 2016 результаты, кто победил, смотреть онлайн 
  • 05:42 – Очень караочен 10 12 16 с Бузовой: Арбузова и бриллиантик в детстве, почему поменяла цвет волос, успех в сольной карьере, за что ненавидят и откровенные фото 
  • 05:41 – «Битва экстрасенсов» 10.12.16, смотреть онлайн: новая серия не для слабонервных 

Эксперт по компьютерной безопасности назвал «Яндекс.Такси» большой дырой

162.158.78.106

Эксперт по компьютерной безопасности назвал «Яндекс.Такси» большой дырой

Специалист по компьютерной безопасности и автор нескольких статей на «Хабрахабр», известный на сайте под псевдонимом lamamer, заявил о серьзных дырах в системе управления сервисом «Яндекс.Такси». Результаты проведенного исследования автор опубликовал в своем блоге.

Судя по данным, которые удалось получить в течение всего нескольких часов экспериментов, система управления «Яндекса» не отвечает даже базовым требованиям безопасности. Специалист утверждает, что смог легко получить полный доступ к компаниям-партнерам, водителям, истории заказов, заказчикам и даже актуальным заказам, выполняемым в данный момент.

Автор отметил, что при наличии неглубоких познаний в языке программирования Python можно не только просмотреть историю заказов и данные водителей, но и переманить самые ценные кадры из других компаний-перевозчиков в свою — используя личные сообщения или массовые рассылки.

Полученный доступ также можно использовать и в реализации криминальных схем. Например, история заказов с данными клиентов, находящаяся в открытом доступе, как любые другие данные, попадающие в базу «Яндекс.Такси», может быть применена злоумышленниками для составления обычного графика перемещений пассажиров.

Существует и более безобидное применение дыры в безопасности оператора. Данные о свежих заказах, получаемые в режиме онлайн, будут интересны самим компаниям-перевозчикам или водителями-одиночками без лицензии для перехвата клиентов. Обеспечив доступ к базе «Яндекса», можно устраивать так называемые замены автомобилей, фактически воруя заказы. Клиент при этом получает сообщение о новом водителе, а компания-исполнитель — отказ со стороны клиента.

Автор исследования уведомил специалистов «Яндекса» об обнаружении открытого доступа к базе данных системы.

Читать больше на lenta.ru


КОММЕНТАРИИ:

  • Читаемое
  • Сегодня
  • Комментируют
Мы в соцсетях
  • Twitter