Эксперт по компьютерной безопасности назвал программу «Яндекса» для такси большой дырой

Эксперт по компьютерной безопасности назвал программу «Яндекса» для такси большой дырой

Специалист по компьютерной безопасности и автор нескольких статей на «Хабрахабр», известный на сайте под псевдонимом lamamer, заявил о серьезных дырах в системе управления таксопарками, приобретенной «Яндексом». Результаты проведенного исследования автор опубликовал в своем блоге.

Судя по данным, которые удалось получить в течение всего нескольких часов экспериментов, система управления таксопарком компании «Росинфотех», которую приобрел «Яндекс» не отвечает даже базовым требованиям безопасности. Специалист утверждает, что смог легко получить полный доступ к компаниям-партнерам, водителям, истории заказов, заказчикам и даже актуальным заказам, выполняемым в данный момент.

Автор отметил, что при наличии неглубоких познаний в языке программирования Python можно не только просмотреть историю заказов и данные водителей, но и представить все интересующие данные в удобном для просмотра виде.

Полученный доступ также можно использовать и в реализации криминальных схем. Например, история заказов с данными клиентов, находящаяся в открытом доступе, как любые другие данные, попадающие в базу системы управления таксопарками, может быть применена злоумышленниками для составления обычного графика перемещений пассажиров.

Существует и более безобидное применение дыры в безопасности оператора. Данные о свежих заказах, получаемые в режиме онлайн, будут интересны самим компаниям-перевозчикам или водителями-одиночкам без лицензии для перехвата клиентов. Обеспечив доступ к базе таксопарков «Росинфотеха», можно устраивать так называемые замены автомобилей, фактически воруя заказы. Клиент при этом получает сообщение о новом водителе, а компания-исполнитель — отказ со стороны клиента.

Автор исследования уведомил специалистов «Яндекса» об обнаружении открытого доступа к базе данных системы.

Поправка

В новости «Эксперт по компьютерной безопасности назвал «Яндекс.Такси» большой дырой» ошибочно названа сервисом «Яндекс.Такси» система компании «Росинфотех» предназначеная для использования диспетчерами и водителями, которую ранее купил «Яндекс». Она не связана непосредственно с «Яндекс.Такси». К ней могут быть подключены таксопарке даже в тех регионах, где сервис «Яндекса» не работает, а базы «Яндекс.Такси» не во всех регионах подключены к системе «Росинфотеха». Название новости исправлено на более корректное

«Лента.ру» приносит извинения перед своими читателями.

Lenta.ru

Похожие новости:
Около 50 краж из банковских систем совершается в Москве
Ежедневно в Москве совершается около 50 краж из систем дистанционного банковского обслуживания (ДБО) различных банков, сообщил во вторник генеральный директор компании Group-IB Илья Сачков в ходе круглого стола, который состоялся в агентстве РИА Новости, посвященного проблемам киберпреступности. ..
2012-03-6 1878 0 Интернет, IT
0
Израиль лучше всех в мире защищен от кибератак
Недавний доклад, опубликованный экспертами в области безопасности и защиты копании McAfee, говорит о том, что Израиль - одна из самых «безопасных» стран в мире с точки зрения защиты от кибератак, сообщает mignews.co.il. Несмотря на недавние успешные попытки взлома израильских сайтов со стороны ..
2012-02-1 2186 0 Интернет, IT
0
Google наняла в качестве топ-менеджера специалиста из Пентагона
Директор Управления перспективных исследовательских проектов (DARPA) Министерства обороны США Регина Дуган приняла предложение о работе от Google, сообщает Lenta.ru со ссылкой на журнал Wired. Какую должность Дуган займет в Google, не уточняется, но известно, что она войдет в состав высшего руководства компании. ..
2012-03-14 1743 0 Интернет, IT
0
Бывший сотрудник «Яндекса» осужден за хищение исходного кода поисковика
Тушинский районный суд Москвы приговорил к двум годам лишения свободы условно бывшего сотрудника компании «Яндекс» Дмитрия Коробова, признав его виновным в хищении интеллектуальной собственности. Коробов скопировал исходный код и алгоритмы поисковой системы и попытался продать их. Об этом в четверг, ..
2015-12-24 1732 0 Интернет, IT
0
Исходный код Photoshop открыт всем желающим
Компания Adobe Systems, спустя 23 года после выхода первой версии Photoshop, разрешила обнародовать исходный код популярного графического редактора. Исходники программы, написанной на языке программирования паскаль, выложил Музей компьютерной истории в Маунтин-Вью, штат Калифорния. Photoshop 1.0.1 ..
2013-02-15 2484 0 Интернет, IT
1
Хакер из России - лучший по взлому систем безопасности банков
В Москве прошел Международный хакерский форум Positive Hack Days 2012. В рамках конкурса Большой Kush хакеры соревновались во взломе систем дистанционного банковского обслуживания (ДБО). Победителю удалось «увести» из банка 3,5 тыс. рублей, используя популярные уязвимости ..
2012-06-2 4053 0 Интернет, IT
0
Businessweek обвинил «Лабораторию Касперского» в связях со спецслужбами России
Журнал Businessweek обвинил российскую антивирусную «Лабораторию Касперского» (ЛК) и ее основателя Евгения Касперского в работе на российские спецслужбы и в их интересах. «Компания, которая защищает вас в интернете, имеет близкие связи с русскими шпионами», — так называется статья Businessweek, посвященная ЛК. Как пишут авторы статьи ..
2015-03-21 7161 0 Интернет, IT
0
Пароль к Windows подбирается за 6 часов
Авторитетный специалист в области компьютерной безопасности Джереми Госни построил дешевую систему, способную подобрать пароль для входа в Windows всего за несколько часов. Его кластер, состоящий из пяти серверов, делает около 350 миллиардов догадок в секунду. С такой скоростью он сможет ..
2012-12-10 1971 0 Интернет, IT
0
Российские хакеры выложили в открытый доступ пароли к аккаунтам Linkedin
Американская социальная сеть LinkedIn проверяет информацию о краже шести с половиной миллионов паролей ее пользователей. Руководство соцсети пока не может подтвердить, что системы безопасности сайта были взломаны. Ранее американские СМИ сообщили, что на одном из российских интернет-форумов выложен файл, содержащий ..
2012-06-7 1956 0 Интернет, IT
0
Турнир "белых хакеров"
В Москве прошел чемпионат хакеров, организованный крупнейшими компаниями по интернет-безопасности. Главной темой соревнования стали меры по защите от промышленного шпионажа. Одновременно с конкурсом состоялась конференция для IT-специалистов, на которой обсуждались проблемы незаконного сбора информации в Сети. Глядя на спокойные и сосредоточенные ..
2013-09-11 1707 0 Интернет, IT
0
Марк Цукерберг беспокоится за безопасность интернета
Основатель социальной сети Facebook Марк Цукерберг выразил президенту США Бараку Обаме беспокойство относительно безопасности интернета, поставленной под угрозу масштабными программами слежки, осуществляемыми американским правительством. "Я очень разочарован и обеспокоен многочисленными сообщениями о действиях правительства США. ..
2014-03-14 1882 0 Интернет, IT
-1
Команда Project Zero встанет на защиту интернета
Google объявила о запуске проекта Project Zero, новой команды профессионалов в области компьютерной безопасности внутри компании, деятельность которой будет сосредоточена на обеспечении защиты в Интернете. Компания заявила, что любой человек должен использовать Интернет, не опасаясь того, что преступники ..
2014-07-17 1645 0 Интернет, IT
0
Хакеры получили доступ к сетям крупных компаний
Хакеры могли получить доступ к компьютерным сетям 760 крупных компаний и организаций, используя те же средства, что и при нашумевшем взломе сети компании RSA в марте 2011 года, утверждает в своем блоге известный специалист по компьютерной безопасности Брайан Кребс (Brian Krebs). Кребс опубликовал ..
2011-10-27 1788 0 Интернет, IT
0
Серверы бундестага подверглись атаке неизвестными хакерами
Неизвестные преступники сегодня внедрились во внутреннюю компьютерную сеть бундестага. Представитель германского парламента Эрнст Хебекер назвал происшествие "кибератакой". На некоторое время серверы бундестага были отключены. Кто скрывается за хакерским нападением, пока не выяснено. По словам представителя бундестага, ..
2015-05-17 5363 0 Интернет, IT
0
Вести.net: бойкот конференции по компьютерной безопасности из-за связи с АНБ
Конференцию по компьютерной безопасности бойкотируют из-за связи организатора с АНБ. Конференция RSA — крупное международное событие в области информационной безопасности. Организатор мероприятия — RSA Security, подразделение компании EMC Corporation, одного из крупнейших производителей ПО для шифрования данных. Оно используется как частными, ..
2013-12-25 1619 0 Интернет, IT
0