Ошибка в софте, который «Яндекс» купил за 1 млрд рублей, позволяла увидеть всех водителей всех таксопарков Яндекс.Такси

Все блоги / Про интернет | 5 июня 2015

Хабраюзер нашел уязвимость в в софте "Рос. Такси" для таксопарков, который зимой "Яндекс" купил за 1 млрд рублей.

«Яндекс» приобрел «РосТакси» за 500 млн кэшэм + 500 млн акциями → Roem.ru

Дыра в коде позволяла за короткое время (у автора ушло 20 минут) получить базу данных всех водителей "Яндекс.Такси" во всех городах с их телефонами, рейтингами, номерами прав, лицензий и другой информацией.

Информацию можно было не только получать, но и изменять, например, отменить заказ одной компании и назначить машину другой.

Самое интересное, что это не просто какая-то одна дырка, а все ПО целиком такое, весь сервис построен на том, что НИКАКОЙ защиты информации нет. Продукт представляет собой просто этакий просмотрщик записей в БД без какой-либо защиты между пользователями.
[..]
Мне кажется, что, проводя сделку за миллиард, не выделить 10 тыс руб на один рабочий день специалиста для проведения аудита это… гхм… или сознательная халатность, или совсем уж хочется побыстрее от миллиарда избавиться :)

"Яндекс" в комментарии Roem.ru сообщил, что уязвимость уже закрыта, но не ответил на вопрос о техническом аудите до или после покупки "Рос. Такси".

(обновлено в 17:15): В оригинальном посте появилось сообщение, что аккаунт хабраюзера был взломан, и сам он этот пост не писал. Однако, "Яндекс" все равно уязвимость подтвердил, отмечая, что уже ее закрыл.

3 комментария | Подписаться на комментарии | Комментировать

Источник: Roem.ru

Перейти на сайт

Похожие новости