Специалист по компьютерной безопасности и автор нескольких статей на «Хабрахабр», известный на сайте под псевдонимом lamamer, заявил о серьезных дырах в системе управления таксопарками, приобретенной «Яндексом». Результаты проведенного исследования автор опубликовал в своем блоге.
Судя по данным, которые удалось получить в течение всего нескольких часов экспериментов, система управления таксопарком компании «Росинфотех», которую приобрел «Яндекс» не отвечает даже базовым требованиям безопасности. Специалист утверждает, что смог легко получить полный доступ к компаниям-партнерам, водителям, истории заказов, заказчикам и даже актуальным заказам, выполняемым в данный момент.
Автор отметил, что при наличии неглубоких познаний в языке программирования Python можно не только просмотреть историю заказов и данные водителей, но и представить все интересующие данные в удобном для просмотра виде.
Полученный доступ также можно использовать и в реализации криминальных схем. Например, история заказов с данными клиентов, находящаяся в открытом доступе, как любые другие данные, попадающие в базу системы управления таксопарками, может быть применена злоумышленниками для составления обычного графика перемещений пассажиров.
Существует и более безобидное применение дыры в безопасности оператора. Данные о свежих заказах, получаемые в режиме онлайн, будут интересны самим компаниям-перевозчикам или водителями-одиночкам без лицензии для перехвата клиентов. Обеспечив доступ к базе таксопарков «Росинфотеха», можно устраивать так называемые замены автомобилей, фактически воруя заказы. Клиент при этом получает сообщение о новом водителе, а компания-исполнитель — отказ со стороны клиента.
Автор исследования уведомил специалистов «Яндекса» об обнаружении открытого доступа к базе данных системы.
Поправка
В новости «Эксперт по компьютерной безопасности назвал "Яндекс.Такси" большой дырой» ошибочно названа сервисом «Яндекс.Такси» система компании «Росинфотех», предназначенная для использования диспетчерами и водителями, которую ранее купил «Яндекс». Она не связана непосредственно с «Яндекс.Такси». К ней могут быть подключены таксопарки даже в регионах, где сервис «Яндекса» не работает, а базы «Яндекс.Такси» не во всех регионах подключены к системе «Росинфотеха». Название новости исправлено на более корректное.