Оффтоп Konstantin Panphilov
9 555

У корпоративных клиентов Gett в России оказались одинаковые пароли

Сотрудники компании-разработчика Orlime Digital обнаружили, что всем российским корпоративным клиентам такси-сервиса Gett по умолчанию выдаются одинаковые пароли. Эту информацию подтвердил эксперимент ЦП.

Представители Orlime Digital рассказали ЦП, что в мае 2015 года решили завести корпоративный аккаунт Gett, и заодно выполнить аудит безопасности. Проверка показала, что менеджер Gett выдаёт всем клиентам один и тот же пароль по умолчанию. При этом клиента не предупреждают о том, что пароль стоит сменить.

ЦП проверил информацию Orlime Digital. Зная пароль, по умолчанию выданный представителям компании, можно попасть в кабинет любого другого корпоративного клиента, не сменившего данные для входа. Среди компаний, которые пользуются услугами Gett — «ВКонтакте»:

Google:

Ozon:

Zeptolab:

Пресс-служба Gett прокомментировала ЦП ситуацию:

Нашим корпоративным клиентам мы выдаем временный пароль к их аккаунту и рекомендуем сменить его. После того, как компания меняет пароль на свой собственный, у Gett нет к нему доступа, мы видим только был или не был он изменен. На данный момент мы еще раз перепроверяем, все ли компании сменили свой временный пароль. Те компании, которые не успели этого сделать, уже получили новые временные пароли и рекомендацию заменить их в самое ближайшее время.

#новость #Gettaxi #ошибка #социальная_инженерия

Статьи по теме
GetTaxi переименуется в Gett и расширит спектр предоставляемых услуг до доставки еды, массажа и уборки
{ "author_name": "Konstantin Panphilov", "author_type": "editor", "tags": ["\u0441\u043e\u0446\u0438\u0430\u043b\u044c\u043d\u0430\u044f_\u0438\u043d\u0436\u0435\u043d\u0435\u0440\u0438\u044f","\u043e\u0448\u0438\u0431\u043a\u0430","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","gettaxi"], "comments": 16, "likes": 18, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 9370, "is_wide": true }
00
дни
00
часы
00
мин
00
сек
(function(){ var banner = document.querySelector('.teaserSberbank'); var isAdsDisabled = document.querySelector('noad'); if (!isAdsDisabled){ var countdownTimer = null; var timerItem = document.querySelectorAll('[data-sber-timer]'); var seconds = parseInt('15395' + '50799') - now(); function now(){ return Math.round(new Date().getTime()/1000.0); } function timer() { var days = Math.floor(seconds / 24 / 60 / 60); var hoursLeft = Math.floor((seconds) - (days * 86400)); var hours = Math.floor(hoursLeft / 3600); var minutesLeft = Math.floor((hoursLeft) - (hours * 3600)); var minutes = Math.floor(minutesLeft / 60); var remainingSeconds = seconds % 60; if (days < 10) days = '0' + days; if (hours < 10) hours = '0' + hours; if (minutes < 10) minutes = '0' + minutes; if (remainingSeconds < 10) remainingSeconds = '0' + remainingSeconds; if (seconds <= 0) { clearInterval(countdownTimer); } else { timerItem[0].textContent = days; timerItem[1].textContent = hours; timerItem[2].textContent = minutes; timerItem[3].textContent = remainingSeconds; seconds -= 1; } } timer(); countdownTimer = setInterval(timer, 1000); } else { banner.style.display = 'none'; } })();
{ "id": 9370, "author_id": 3, "diff_limit": 1000, "urls": {"diff":"\/comments\/9370\/get","add":"\/comments\/9370\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/9370"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

16 комментариев 16 комм.

Популярные

По порядку

Написать комментарий...
20

Какого-то сотрудника сейчас...

Ответить
8

Пароль-то какой?

Суть сисек не раскрыта!

Ответить
11

А пароль одинаковый ;)

Ответить

Комментарий удален

10

да вы хакеры

Ответить
7

А вообще вопрос паролей он ведь серьезный, у меня в марте сего года был случай, который я описывал у себя в блоге, приведу его тут в виде текста:

Утро четверга привело меня в полное прифигивание. На прошлой неделе одна из фирм предложила тестовый доступ на 3 месяца для тестирования облачного сервиса. Вот утром четверга и пришли пароли для доступа, но как они пришли - в копии были указаны все наши сотрудники, а в письме был полный список логинов и паролей всех работников - т.е. все получили общий список доступа.

Я от этого, в состоянии аффекта тут же написал:

Прошу обратить внимание, что подобное письмо ставит под сомнение Вашу квалификацию, подобные письма подрывают информационную безопасность, каждый работник должен был получить свой и только свой логин и пароль отдельным письмом, а не список паролей всех своих коллег. Прошу изучить Вас вопросы информационной безопасности для успешной работы на рынке ИТ-решений.

Это письмо я отправил не только человеку, который отправил письмо, но и всем упомянутым в копии коллегам этого работника, более того не поленился зайти на их сайт и копию отправить на основную почту. Интересно и другое, письмо было перенаправлено - т.е. сотрудник этой фирмы получил письмо от другого человека, и вот же сюрприз - другой человек работник другой фирмы, т.е. сразу стало понятно что мы имеем дело с перепродовцами, перенаправив письмо сотрудник мало того что безопасность к матери нарушил, так еще и спалил с кем они работают, к слову тому чье письмо было перенаправлено я тоже копию отправил.

Сам исполнитель, так протупивший, написал мне в вежливом стиле "сам дурак", что это мол тестовая эксплуатация, а если мы доступ купим, то потом они каждому индивидуально пришлют логины и пароли, я ответил на это письмо очень просто:

С точки зрения работы с клиентами, Вы должны сразу, даже на тестовый доступ, предоставлять информацию правильно, из всех организаций предоставляющих тестовый доступ, на данный момент так "отличилась" только ваша организация. Ваша аргументация выглядит примерно так "У нас тут чашка разбитая, но мы Вам ее пока только показываем, потом когда купите - мы ее склеем" - у потребителя возникает сомнение, покупать ли чашку, когда сейчас он ее видит разбитой. Подумайте об этом и сделайте выводы.

Общение с исполнителем может и продолжилось бы, но тут их директор фирмы разослал письмо, где написал "Коллеги вообще-то заказчик полностью прав, тестовый доступ легко переходит в промышленную эксплуатацию, прошу в будущем коды доступа даже на тестовый период предоставлять индивидуально!". Ответ от директора пришел через 20 минут, вот это скорость реагирования!!! Поэтому я и не выношу название интегратора, хотя в Москве они и известны, благодаря такой скорости реагирования от директора. К слову сказать, вечером пришли письма с паролями и логинами для учебного центра к сервису и пришли правильно - каждый получил индивидуальное письмо с логином и паролем - т.е. компания реально сделала выводы и изменила свой бизнес-процесс.

Я конечно представляю как меня там кто-то вспоминал "добрыми словами", но я всегда был и буду за обратную связь, да она иногда не приятная, жалобщиков не любят, но критику нужно воспринимать и если она реальная делать выводы и обучатся.

Ответить
1

круто всё правильно сделали :) И директор компании правильно отреагировал. Такое допускать - это ужас.

Адекватная обратная связь по существу, да еще и с правильными предложениями по улучшению - это просто золото для компании :)

Ответить
–3

Комментарий Gett один - ст.272 УК РФ

Ответить
4

Халатность?

Ответить
–2

Неправомерный доступ к компьютерной информации

ч.1 как раз подходит, за нее притягивают over дофига:
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо <b>копирование компьютерной информации</b>, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

Ответить
3

уничтожение, блокирование, модификацию либо <b>копирование компьютерной информации</b>

Этого ничего не произошло, в чем смысл коммента?

Ответить
1

Скриншот закрытой информации (списка сотрудников) уже тянет на "копирование".

Ответить
1

Если бы кто-то и хотел скопировать, извлечь выгоду из этого и пр., давно бы уже продали статью тому же таксовичкову и слили бы в сеть все пользовательские данные по-тихому. Такой бы скандал был бы!
Так что это еще нормально и правильно сделано

Ответить
1

Вот потому мы в своем проекте на всегда оказались от паролей.

Ответить
1

Согласен... Гёт после смены направления стал сильно терять сферу в России. Может они забили на такси? Заказов мало,качество ниже. Дозвониться до техподдержки проблема.

Ответить

Комментарий удален

0

Маразм какой-то, сфейлить на такой очевидной штуке.

Они бы еще на сайте в FAQ'е написали этот пароль и давали ссылку на эту статью в регистрационном письме.

Ответить

Комментарий удален

–1

Gettaxi - деградирует в России

Ответить

Комментарий удален

0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Голосовой помощник выкупил
компанию-создателя
Подписаться на push-уведомления