«Дыра» в ПО позволяла воровать заказы и переманивать водителей «Яндекс.Такси»
05.06.15, Пт, 20:03, Мск,
Текст: Игорь Королев
Программное обеспечение «Рос.Такси», приобретенное «Яндексом» за i1 млрд, содержало серьезную уязвимость. Профайлы водителей и таксопарков, работающих с «Яндекс.Такси», находились в открытом доступе, а недобросовестные таксисты могли перехватывать заказы конкурентов.
Сервис для управления таксопарком «Рос.Такси», приобретенный «Яндексом» у компании «Росинфотех» содержал серьезную уязвимость. Об этом в своем блоге на Habrahabr рассказал пользователь Lamamer.
«Росинфотех» производит ПО для координации работы таксомоторных парков и является автором приложения «Таксометр» для таксистов-водителей, обеспечивающего подсчет стоимости поездки и связь водителей с диспетчерской.
На момент приобретения «Яндексом», по данным самого поисковика, через «Рос.Такси» и так уже было подключено 70% машин, работающих с ««Яндекс.Такси», и обслуживалось 60% заказов «Яндекс.Такси».
Каждый пользователь ПО «Рос.Такси» (таксопарки и водители) имеет уникальный идентификатор — UUID. Зная UUID пользователя, можно в веб-браузере, без авторизации получить о нем всю информацию.
По утверждению Lamamer, UUID всех компаний-пользователей данного ПО можно узнать путем просмотра исходного кода страницы (командой Ctrl+U в браузере Chrome). Кроме того, посредством анализа запросов приложения «Таксометр» также можно найти адрес страницы, на которой доступны UUID таксопарков.
С помощью простого скрипта ему удалось свести в базу данных «всех водителей «Яндекс.Такси» во всех городах (не только в Москве) с их телефонами, рейтингами, номерами прав, лицензий, балансами счета и прочей приватной информацией».
Демонстрация доступа к данным водителей чужих таксопарков
«Так я получил вещественное доказательство более чем двухлетним подозрениям моего друга о воровстве водителей», — пишет Lamamer.
Lamamer утверждает, что ему удалось найти страницу, где без авторизации можно просматривать все текущие заказы «Яндекс.Такси», включая информацию об их ID, водителе, статусе заказа, адресе подачи и др.
Наконец, Lamamer пишет, что имея доступ к личному кабинету пользователя «Рос.Такси» и зная ID-заказов, компания-таксопарк может перехватывать заказы конкурентов и переманивать клиентов. Для водителя этот перехват будет выглядеть как отмена заказа, для клиента — как «пришла другая машина». Еще одна доступная возможность: осуществление широковещательной рассылки водителям, например, с целью отправки им предложений о работе.
Демонстрация доступа к логу заказов такси
Lamamer утверждает, что уведомил «Яндекс» о найденных им уязвимостях. Представительница пресс-службы «Яндекса» Элина Ставиская сообщили CNews, что данная проблема уже решена, при этом карточки клиентов (пассажиров «Яндекс.Такси») не находились под угрозой. От более подробных комментариев в «Яндексе» отказались.
Напомним, общая объем сделки по покупке «Яндексом» компании «Рос.Такси» составляет сумму до i1 млрд. Половина этих денег будет выплачена наличными, причем i380 млн — не в момент совершения сделки, а позднее при условии успешной технической интеграции приобретенного ПО и перевода его клиентской базы. Оставшиеся i500 млн будут выплачены в виде акций «Яндекса» через три года после совершения сделки при условии достижения приобретенной компанией ряда показателей.