У корпоративных клиентов Gett в России оказались одинаковые пароли Статьи редакции

Сотрудники компании-разработчика Orlime Digital обнаружили, что всем российским корпоративным клиентам такси-сервиса Gett по умолчанию выдаются одинаковые пароли. Эту информацию подтвердил эксперимент ЦП.

Представители Orlime Digital рассказали ЦП, что в мае 2015 года решили завести корпоративный аккаунт Gett, и заодно выполнить аудит безопасности. Проверка показала, что менеджер Gett выдаёт всем клиентам один и тот же пароль по умолчанию. При этом клиента не предупреждают о том, что пароль стоит сменить.

ЦП проверил информацию Orlime Digital. Зная пароль, по умолчанию выданный представителям компании, можно попасть в кабинет любого другого корпоративного клиента, не сменившего данные для входа. Среди компаний, которые пользуются услугами Gett — «ВКонтакте»:

Google:

Ozon:

Zeptolab:

Пресс-служба Gett прокомментировала ЦП ситуацию:

Нашим корпоративным клиентам мы выдаем временный пароль к их аккаунту и рекомендуем сменить его. После того, как компания меняет пароль на свой собственный, у Gett нет к нему доступа, мы видим только был или не был он изменен. На данный момент мы еще раз перепроверяем, все ли компании сменили свой временный пароль. Те компании, которые не успели этого сделать, уже получили новые временные пароли и рекомендацию заменить их в самое ближайшее время.

0
16 комментариев
Популярные
По порядку
Написать комментарий...

Какого-то сотрудника сейчас...

20

Пароль-то какой?

Суть сисек не раскрыта!

8

А пароль одинаковый ;)

11

Комментарий удален

да вы хакеры

10

А вообще вопрос паролей он ведь серьезный, у меня в марте сего года был случай, который я описывал у себя в блоге, приведу его тут в виде текста:

Утро четверга привело меня в полное прифигивание. На прошлой неделе одна из фирм предложила тестовый доступ на 3 месяца для тестирования облачного сервиса. Вот утром четверга и пришли пароли для доступа, но как они пришли - в копии были указаны все наши сотрудники, а в письме был полный список логинов и паролей всех работников - т.е. все получили общий список доступа.

Я от этого, в состоянии аффекта тут же написал:

Прошу обратить внимание, что подобное письмо ставит под сомнение Вашу квалификацию, подобные письма подрывают информационную безопасность, каждый работник должен был получить свой и только свой логин и пароль отдельным письмом, а не список паролей всех своих коллег. Прошу изучить Вас вопросы информационной безопасности для успешной работы на рынке ИТ-решений.

Это письмо я отправил не только человеку, который отправил письмо, но и всем упомянутым в копии коллегам этого работника, более того не поленился зайти на их сайт и копию отправить на основную почту. Интересно и другое, письмо было перенаправлено - т.е. сотрудник этой фирмы получил письмо от другого человека, и вот же сюрприз - другой человек работник другой фирмы, т.е. сразу стало понятно что мы имеем дело с перепродовцами, перенаправив письмо сотрудник мало того что безопасность к матери нарушил, так еще и спалил с кем они работают, к слову тому чье письмо было перенаправлено я тоже копию отправил.

Сам исполнитель, так протупивший, написал мне в вежливом стиле "сам дурак", что это мол тестовая эксплуатация, а если мы доступ купим, то потом они каждому индивидуально пришлют логины и пароли, я ответил на это письмо очень просто:

С точки зрения работы с клиентами, Вы должны сразу, даже на тестовый доступ, предоставлять информацию правильно, из всех организаций предоставляющих тестовый доступ, на данный момент так "отличилась" только ваша организация. Ваша аргументация выглядит примерно так "У нас тут чашка разбитая, но мы Вам ее пока только показываем, потом когда купите - мы ее склеем" - у потребителя возникает сомнение, покупать ли чашку, когда сейчас он ее видит разбитой. Подумайте об этом и сделайте выводы.

Общение с исполнителем может и продолжилось бы, но тут их директор фирмы разослал письмо, где написал "Коллеги вообще-то заказчик полностью прав, тестовый доступ легко переходит в промышленную эксплуатацию, прошу в будущем коды доступа даже на тестовый период предоставлять индивидуально!". Ответ от директора пришел через 20 минут, вот это скорость реагирования!!! Поэтому я и не выношу название интегратора, хотя в Москве они и известны, благодаря такой скорости реагирования от директора. К слову сказать, вечером пришли письма с паролями и логинами для учебного центра к сервису и пришли правильно - каждый получил индивидуальное письмо с логином и паролем - т.е. компания реально сделала выводы и изменила свой бизнес-процесс.

Я конечно представляю как меня там кто-то вспоминал "добрыми словами", но я всегда был и буду за обратную связь, да она иногда не приятная, жалобщиков не любят, но критику нужно воспринимать и если она реальная делать выводы и обучатся.

7

круто всё правильно сделали :) И директор компании правильно отреагировал. Такое допускать - это ужас.

Адекватная обратная связь по существу, да еще и с правильными предложениями по улучшению - это просто золото для компании :)

1

Комментарий Gett один - ст.272 УК РФ

–3

Халатность?

4

Неправомерный доступ к компьютерной информации

ч.1 как раз подходит, за нее притягивают over дофига:
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо <b>копирование компьютерной информации</b>, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

–2

уничтожение, блокирование, модификацию либо <b>копирование компьютерной информации</b>

Этого ничего не произошло, в чем смысл коммента?

3

Скриншот закрытой информации (списка сотрудников) уже тянет на "копирование".

1

Если бы кто-то и хотел скопировать, извлечь выгоду из этого и пр., давно бы уже продали статью тому же таксовичкову и слили бы в сеть все пользовательские данные по-тихому. Такой бы скандал был бы!
Так что это еще нормально и правильно сделано

1

Вот потому мы в своем проекте на всегда оказались от паролей.

1

Согласен... Гёт после смены направления стал сильно терять сферу в России. Может они забили на такси? Заказов мало,качество ниже. Дозвониться до техподдержки проблема.

1

Комментарий удален

Маразм какой-то, сфейлить на такой очевидной штуке.

Они бы еще на сайте в FAQ'е написали этот пароль и давали ссылку на эту статью в регистрационном письме.

0

Комментарий удален

Gettaxi - деградирует в России

–1

Комментарий удален

Читать все 16 комментариев
С подпиской Яндекс Плюс плати за доставку

Доброе утро

Тренды в дизайне интерфейсов для брендов. Чем работа в компании отличается от работы в студии?
Откуда берут взрослые деревья для парков и улиц

А также сколько они стоят и почему выращивать их — неплохой бизнес.

И сотрудников тоже касается: кибербуллинг на рабочем месте
Design vector created by pikisuperstar - www.freepik.com
​Почему от коронавируса в Японии умирают по 0-3 человека в день?

Данный пост меня побудило написать отношение людей к ковиду в моей родной стране учитывая всю ситуацию. Мне много людей пишет с вопросами по ситуации в Японии, и рассказывают свои мнения по вопросу вакцинации.

Авито принуждает делиться паспортными данными и биометрией для просмотра объявлений

Моему профилю на Авито больше трёх лет. Сотни сделок как продажи так и купли. Хороший рейтинг.

Куда катится мир! Предистория
SkillFactory раздает подарки: повышенная ставка и новогодний марафон для вебмастеров

В преддверии Нового года мы решили порадовать своих настоящих и будущих партнеров — участников партнерской программы школ Skillfactory, Contented и Product LIVE. Это возможность получить денежный бонус и заодно увеличить прибыль от продажи наших курсов.

Сервис доставки в почтаматы 5post обманывает и присваивает посылки

Совсем недавно я решил заказать с АлиЭкспресс несколько товаров для домашнего бара. По отдельности они не дорогие, но для общей картинки нужны все. Через неделю после заказа мне приходит смс с номера "5post" о том, что одна из этих посылок ждёт меня в ближайшей пятерочке. Я скачал приложение, зарегистрировался там и увидел, что моя посылка будет…

Продавец eBay из Кургана стала победителем в финале Всероссийского конкурса «Молодой предприниматель России 2021»

27 ноября в Москве состоялся финал ежегодного конкурса «Молодой предприниматель России 2021». В нём приняли участие предприниматели и самозанятые в возрасте до 35 лет. Всего было подано более 300 заявок из 43 регионов страны.

Украли баллы с карты Перекресток

Вот и до меня добралась эта неприятность, когда в один прекрасный момент все твои накопленные баллы списываются непонятно кем.

null