Блогер с ником lamamer обнаружил уязвимость в софте "Рос. Такси" для таксопарков, который минувшей зимой Яндекс приобрёл за 1 млрд рублей. На своей странице он подробно описал, как ему без проблем удалось войти в базу данных сервиса, не обладающей по словам блогера, даже примитивной защитой.
По словам "простого айтишника", как он сам себя называет, "дыра" в коде позволяла за короткое время (у автора на это потребовалось 20 минут) получить обширную базу данных всех водителей Яндекс.Такси по всем городам, причём сведения содержали номера телефонов водителей, номера прав, лицензий, их рейтинг и другую информацию.
По его словам, информацию можно было не только получать, но и даже изменять, к примеру, можно было отменить заказ одной компании и назначить машину другой.
"Самое интересное, что это не просто какая-то одна дырка, а все ПО целиком такое, весь сервис построен на том, что НИКАКОЙ защиты информации нет. Продукт представляет собой просто этакий просмотрщик записей в БД без какой-либо защиты между пользователями.... Мне кажется, что, проводя сделку за миллиард, не выделить 10 тыс руб на один рабочий день специалиста для проведения аудита это… гхм… или сознательная халатность, или совсем уж хочется побыстрее от миллиарда избавиться :)", - резюмирует автор.
Как уточняет Roem.ru, в Яндексе заявили, что уязвимость уже устранена. При этом в компании не ответили на вопрос о техническом аудите до или после покупки "Рос. Такси".
По информации topnews.ru
При использовании материалов активная индексируемая гиперссылка на сайт ТЕЛЕПОРТ.РФ обязательна.
