Эксперт по компьютерной безопасности назвал «Яндекс.Такси» большой дырой

Специалист по компьютерной безопасности и автор нескольких статей на «Хабрахабр», известный на сайте под псевдонимом lamamer, заявил о серьзных дырах в системе управления сервисом «Яндекс.Такси». Результаты проведенного исследования автор опубликовал в своем блоге.

Судя по данным, которые удалось получить в течение всего нескольких часов экспериментов, система управления «Яндекса» не отвечает даже базовым требованиям безопасности. Специалист утверждает, что смог легко получить полный доступ к компаниям-партнерам, водителям, истории заказов, заказчикам и даже актуальным заказам, выполняемым в данный момент.

Автор отметил, что при наличии неглубоких познаний в языке программирования Python можно не только просмотреть историю заказов и данные водителей, но и переманить самые ценные кадры из других компаний-перевозчиков в свою — используя личные сообщения или массовые рассылки.

Полученный доступ также можно использовать и в реализации криминальных схем. Например, история заказов с данными клиентов, находящаяся в открытом доступе, как любые другие данные, попадающие в базу «Яндекс.Такси», может быть применена злоумышленниками для составления обычного графика перемещений пассажиров.

Существует и более безобидное применение дыры в безопасности оператора. Данные о свежих заказах, получаемые в режиме онлайн, будут интересны самим компаниям-перевозчикам или водителями-одиночками без лицензии для перехвата клиентов. Обеспечив доступ к базе «Яндекса», можно устраивать так называемые замены автомобилей, фактически воруя заказы. Клиент при этом получает сообщение о новом водителе, а компания-исполнитель — отказ со стороны клиента.

Автор исследования уведомил специалистов «Яндекса» об обнаружении открытого доступа к базе данных системы.