Вчера, 5 июня, один из пользователей «Хабрахабра» под псевдонимом lamamer сообщил о том, что ему удалось обнаружить серьезную уязвимость в интернет-сервисе компании «Яндекс».
Спустя менее, чем через сутки владелец учетной записи сообщил, что его страница была взломана, а о данной статье он «с удивлением узнал от коллег».
Отметим, что речь идет о программном обеспечении службы «Яндекс,Такси», позволявшим неавторизованному пользователю получить доступ к конфиденциальной информации и личным данным водителей, а также компаний, в которых они работают.
В комментариях к публикации также появились представители отечественного поисковика, по словам которых, уязвимость уже устранена и в настоящий момент проводится аудит безопасности.
Сервис для управления таксопарком «Рос.Такси», приобретенный «Яндексом» у компании «Росинфотех» содержал серьезную уязвимость.
«Росинфотех» производит ПО для координации работы таксомоторных парков и является автором приложения «Таксометр» для таксистов-водителей, обеспечивающего подсчет стоимости поездки и связь водителей с диспетчерской.
На момент приобретения «Яндексом», по данным самого поисковика, через «Рос.Такси» и так уже было подключено 70% машин, работающих с ««Яндекс.Такси», и обслуживалось 60% заказов «Яндекс.Такси».
Каждый пользователь ПО «Рос.Такси» (таксопарки и водители) имеет уникальный идентификатор — UUID. Зная UUID пользователя, можно в веб-браузере, без авторизации получить о нем всю информацию.
Спустя менее, чем через сутки владелец учетной записи сообщил, что его страница была взломана, а о данной статье он «с удивлением узнал от коллег».
Отметим, что речь идет о программном обеспечении службы «Яндекс,Такси», позволявшим неавторизованному пользователю получить доступ к конфиденциальной информации и личным данным водителей, а также компаний, в которых они работают.
«Рейтинги, когда сдавал экзамены такси, номера прав итп — все видно. Информация о любом водителе доступна по урлу с UUID», - подчеркивал исследователь.
В комментариях к публикации также появились представители отечественного поисковика, по словам которых, уязвимость уже устранена и в настоящий момент проводится аудит безопасности.
Сервис для управления таксопарком «Рос.Такси», приобретенный «Яндексом» у компании «Росинфотех» содержал серьезную уязвимость.
«Росинфотех» производит ПО для координации работы таксомоторных парков и является автором приложения «Таксометр» для таксистов-водителей, обеспечивающего подсчет стоимости поездки и связь водителей с диспетчерской.
На момент приобретения «Яндексом», по данным самого поисковика, через «Рос.Такси» и так уже было подключено 70% машин, работающих с ««Яндекс.Такси», и обслуживалось 60% заказов «Яндекс.Такси».
Каждый пользователь ПО «Рос.Такси» (таксопарки и водители) имеет уникальный идентификатор — UUID. Зная UUID пользователя, можно в веб-браузере, без авторизации получить о нем всю информацию.