Войти с помощью


красный зелёный голубой

Многие вещи нам не понятны не потому что наши понятия слабы, а потому что сии вещи не входят в круг наших понятий.

Эксперт по компьютерной безопасности назвал программу «Яндекса» для такси большой дырой

Эксперт по компьютерной безопасности назвал программу «Яндекса» для такси большой дырой

Специалист по компьютерной безопасности и автор нескольких статей на «Хабрахабр», известный на сайте под псевдонимом lamamer, заявил о серьезных дырах в системе управления таксопарками, приобретенной «Яндексом». Результаты проведенного исследования автор опубликовал в своем блоге.

Судя по данным, которые удалось получить в течение всего нескольких часов экспериментов, система управления таксопарком компании «Росинфотех», которую приобрел «Яндекс» не отвечает даже базовым требованиям безопасности. Специалист утверждает, что смог легко получить полный доступ к компаниям-партнерам, водителям, истории заказов, заказчикам и даже актуальным заказам, выполняемым в данный момент.

Автор отметил, что при наличии неглубоких познаний в языке программирования Python можно не только просмотреть историю заказов и данные водителей, но и представить все интересующие данные в удобном для просмотра виде.

Полученный доступ также можно использовать и в реализации криминальных схем. Например, история заказов с данными клиентов, находящаяся в открытом доступе, как любые другие данные, попадающие в базу системы управления таксопарками, может быть применена злоумышленниками для составления обычного графика перемещений пассажиров.

Существует и более безобидное применение дыры в безопасности оператора. Данные о свежих заказах, получаемые в режиме онлайн, будут интересны самим компаниям-перевозчикам или водителями-одиночкам без лицензии для перехвата клиентов. Обеспечив доступ к базе таксопарков «Росинфотеха», можно устраивать так называемые замены автомобилей, фактически воруя заказы. Клиент при этом получает сообщение о новом водителе, а компания-исполнитель — отказ со стороны клиента.

Автор исследования уведомил специалистов «Яндекса» об обнаружении открытого доступа к базе данных системы.

Поправка

В новости «Эксперт по компьютерной безопасности назвал «Яндекс.Такси» большой дырой» ошибочно названа сервисом «Яндекс.Такси» система компании «Росинфотех» предназначеная для использования диспетчерами и водителями, которую ранее купил «Яндекс». Она не связана непосредственно с «Яндекс.Такси». К ней могут быть подключены таксопарке даже в тех регионах, где сервис «Яндекса» не работает, а базы «Яндекс.Такси» не во всех регионах подключены к системе «Росинфотеха». Название новости исправлено на более корректное

«Лента.ру» приносит извинения перед своими читателями.

Lenta.ru

Поставьте оценку:
Рейтинг 0 (Проголосовало: 0)
Понравилось? Поделитесь с друзьями через кнопки социальных сетей!

Добавить страницу в закладки

0
208
Популярные видео каналы