Я нашел способ отследить всех водителей «Ситимобила»
В субботу вечером я, как всегда, сидел и снифил трафик со своего телефона. Внезапно, открыв приложение «Ситимобила», я увидел, что запрос на получение информации о ближайших машинах выполняется без какой-либо аутентификации.
А я поддерживаю Ситимобил в этой истории. Хотелось бы, конечно, увидеть, как именно оформил баг Сергей: сказал, что аутентификации нет на точке и всё; или же указал, что выдаются данные, которые можно использовать так-то и так-то.
Просто, если первое, то это немного грязно, хоть и неплохо получилось пропиарить свои скилы :)
Если говорить о самой проблеме, то бага же не в том, что аутентификации - нет. Если добавить аутентификацию, то вы так же сможете все эти данные получить, просто надо будет передавать сессионный ключ, кукис или что там еще.
В конечном итоге, баги, как минимум, в двух местах:
1. Лимит на запросы, как уже писали в комментах: все эти данные имеют смысл только когда они более или менее полные (фразы про то, что можно узнать долю рынка) и когда их можно обновлять регулярно на большой площади (чтобы отслеживать статистику).
2. Персонализация данных машин: а именно то, что можно связать данные по машине в запросе сейчас с тем, что вернётся через час. Например, по какому-то внутреннему id. Именно это, как я понимаю, позволяло отслеживать маршрут машины.
Если вы посмотрите тот же Lyft, он возвращает номер машины и марку только когда уже есть заказ машины, но не показывает их списком, пока они колесят на карте вокруг тебя.
Интересно, хоть часть соображений и анализа были в отчёте? Или это было "У вас тут точка открыта для показа машин рядом. Как вам? Платите."
Ну и надо отметить, что все мы люди, какие бы проекты большие не были, какие бы крутые команды в них не участвовали - баги возможны.
Напомню вам случай, когда программист из Казани нашел возможность удалять на youtube любой видеоролик. Кто бы мог подумать, что такое возможно.
чувак, там была ссылка на отчёт на hackerone, ты все пропустил