- PVSM.RU - https://www.pvsm.ru -
читатель нашел уязвимость в в софте «Рос. Такси» для таксопарков, который зимой «Яндекс» купил за 1 млрд рублей.
«Яндекс» приобрел «РосТакси» за 500 млн кэшэм + 500 млн акциями → Roem.ru [1]
Дыра в коде позволяла за короткое время (у автора ушло 20 минут) получить базу данных всех водителей «Яндекс.Такси» по всех городах с их телефонами, рейтингами, номерами прав, лицензий и другой информацией.
Информацию можно было не только получать, но и изменять, например, отменить заказ одной компании и назначить машину другой.
Самое интересное, что это не просто какая-то одна дырка, а все ПО целиком такое, весь сервис построен на том, что НИКАКОЙ защиты информации нет. Продукт представляет собой просто этакий просмотрщик записей в БД без какой-либо защиты между пользователями.
[.]
Мне кажется, что, проводя сделку за миллиард, не выделить 10 тыс руб на один рабочий день специалиста для проведения аудита это… гхм… или сознательная халатность, или совсем уж хочется побыстрее от миллиарда избавиться :)
«Яндекс» в комментарии Roem.ru сообщил, что уязвимость уже закрыта, но не ответил на вопрос о техническом аудите до или после покупки «Рос. Такси».
Источник [2]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/bezopasnost/91597
Ссылки в тексте:
[1] «Яндекс» приобрел «РосТакси» за 500 млн кэшэм + 500 млн акциями → Roem.ru: https://roem.ru/02-05-2015/194391/yndx-taxi-rostaxi/
[2] Источник: https://roem.ru/05-06-2015/197279/yandex-taxi-was-hacked/
Нажмите здесь для печати.