Через «дыру» в ПО у «Яндекс.Такси» воровали заказы и переманивали водителей

Через «дыру» в ПО у «Яндекс.Такси» воровали заказы и переманивали водителей

Через «дыру» в ПО у «Яндекс.Такси» воровали заказы и переманивали водителей

  • Денис Горелов
  • 18.06.2015
  • Яндекс

Платформа для централизованной работы с таксопарком «Рос.Такси» (компания «Яндекс» ранее приобрела сервис у компании «Росинфотех») содержала серьезную ошибку. Описание ошибки опубликовал пользователь Lamamer в личном блоге на Habrahabr.

«Росинфотех» осуществляет разработку ПО для централизованного управления таксомоторными парками, а также является автором программы «Таксометр», которая обеспечивает связь между диспетчерами и водителями и подсчет стоимости поездки.

Все пользователи данного приложения (водители и таксопарки) получают уникальный идентификатор (UUID). Данный идентификатор позволяет получить подробную информацию о пользователи при помощи интернет-ресурса. Lamamer утверждает, что UUID всех пользователей и организаций можно узнать, просто просмотрев исходный код страницы. Анализ запросов утилиты «Таксометр» позволяет получить адрес страницы, которая содержит UUID таксопарков.

При помощи несложного скрипта Lamamer смог сформировать базу данных всех водителей, работающих с платформой «Яндекс.Такси» (все города). Файл содержал и личную информацию, включая номер телефона, текущий баланс, рейтинг, номера лицензий и прав.

Пользователь также утверждает, что обнаружил страницу, которая позволяет без авторизации просмотреть все активные заказы сервиса «Яндекс.Такси». Страница позволяет просматривать статус заказа, данные о водителе, идентификатор, адрес подачи и другую информацию.

В публикации Lamamer отмечает, что компания таксопарк, имея личный кабинет и зная идентификаторы заказов, может скрытно перехватывать чужие заказы и переманивать клиентов. В этом случае клиент получает уведомление «пришла другая машина», а водитель – об отмене заказа. Есть также возможность создания широковещательной рассылки, например, с предложением о работе.

Автор сообщения утверждает, что оповестил «Яндекс» о присутствии серьезной ошибки в ПО. Представители пресс-службы сообщили, что проблему уже устранили. В компании также заверили, что карточки клиентов (пассажиров) не были под угрозой.

4 предыдущих новостей

«Яндекс» разработал систему прогнозирования пробок и ДТП Просмотров ( 0)
«Яндекс» анонсировал новый сервис «Яндекс.Радио» Просмотров ( 0)
"Яндекс" закрывает свою блог-площадку и отключает функцию загрузки в "Яндекс.Видео" Просмотров ( 0)
Платежная система "Яндекса" запустила сервис денежных переводов между банковскими картами Просмотров ( 0)