У корпоративных клиентов Gett в России оказались одинаковые пароли Статьи редакции

Сотрудники компании-разработчика Orlime Digital обнаружили, что всем российским корпоративным клиентам такси-сервиса Gett по умолчанию выдаются одинаковые пароли. Эту информацию подтвердил эксперимент ЦП.

Представители Orlime Digital рассказали ЦП, что в мае 2015 года решили завести корпоративный аккаунт Gett, и заодно выполнить аудит безопасности. Проверка показала, что менеджер Gett выдаёт всем клиентам один и тот же пароль по умолчанию. При этом клиента не предупреждают о том, что пароль стоит сменить.

ЦП проверил информацию Orlime Digital. Зная пароль, по умолчанию выданный представителям компании, можно попасть в кабинет любого другого корпоративного клиента, не сменившего данные для входа. Среди компаний, которые пользуются услугами Gett — «ВКонтакте»:

Google:

Ozon:

Zeptolab:

Пресс-служба Gett прокомментировала ЦП ситуацию:

Нашим корпоративным клиентам мы выдаем временный пароль к их аккаунту и рекомендуем сменить его. После того, как компания меняет пароль на свой собственный, у Gett нет к нему доступа, мы видим только был или не был он изменен. На данный момент мы еще раз перепроверяем, все ли компании сменили свой временный пароль. Те компании, которые не успели этого сделать, уже получили новые временные пароли и рекомендацию заменить их в самое ближайшее время.

0
16 комментариев
Популярные
По порядку
Написать комментарий...

Какого-то сотрудника сейчас...

20

Пароль-то какой?

Суть сисек не раскрыта!

8

А пароль одинаковый ;)

11

Комментарий удален

да вы хакеры

10

А вообще вопрос паролей он ведь серьезный, у меня в марте сего года был случай, который я описывал у себя в блоге, приведу его тут в виде текста:

Утро четверга привело меня в полное прифигивание. На прошлой неделе одна из фирм предложила тестовый доступ на 3 месяца для тестирования облачного сервиса. Вот утром четверга и пришли пароли для доступа, но как они пришли - в копии были указаны все наши сотрудники, а в письме был полный список логинов и паролей всех работников - т.е. все получили общий список доступа.

Я от этого, в состоянии аффекта тут же написал:

Прошу обратить внимание, что подобное письмо ставит под сомнение Вашу квалификацию, подобные письма подрывают информационную безопасность, каждый работник должен был получить свой и только свой логин и пароль отдельным письмом, а не список паролей всех своих коллег. Прошу изучить Вас вопросы информационной безопасности для успешной работы на рынке ИТ-решений.

Это письмо я отправил не только человеку, который отправил письмо, но и всем упомянутым в копии коллегам этого работника, более того не поленился зайти на их сайт и копию отправить на основную почту. Интересно и другое, письмо было перенаправлено - т.е. сотрудник этой фирмы получил письмо от другого человека, и вот же сюрприз - другой человек работник другой фирмы, т.е. сразу стало понятно что мы имеем дело с перепродовцами, перенаправив письмо сотрудник мало того что безопасность к матери нарушил, так еще и спалил с кем они работают, к слову тому чье письмо было перенаправлено я тоже копию отправил.

Сам исполнитель, так протупивший, написал мне в вежливом стиле "сам дурак", что это мол тестовая эксплуатация, а если мы доступ купим, то потом они каждому индивидуально пришлют логины и пароли, я ответил на это письмо очень просто:

С точки зрения работы с клиентами, Вы должны сразу, даже на тестовый доступ, предоставлять информацию правильно, из всех организаций предоставляющих тестовый доступ, на данный момент так "отличилась" только ваша организация. Ваша аргументация выглядит примерно так "У нас тут чашка разбитая, но мы Вам ее пока только показываем, потом когда купите - мы ее склеем" - у потребителя возникает сомнение, покупать ли чашку, когда сейчас он ее видит разбитой. Подумайте об этом и сделайте выводы.

Общение с исполнителем может и продолжилось бы, но тут их директор фирмы разослал письмо, где написал "Коллеги вообще-то заказчик полностью прав, тестовый доступ легко переходит в промышленную эксплуатацию, прошу в будущем коды доступа даже на тестовый период предоставлять индивидуально!". Ответ от директора пришел через 20 минут, вот это скорость реагирования!!! Поэтому я и не выношу название интегратора, хотя в Москве они и известны, благодаря такой скорости реагирования от директора. К слову сказать, вечером пришли письма с паролями и логинами для учебного центра к сервису и пришли правильно - каждый получил индивидуальное письмо с логином и паролем - т.е. компания реально сделала выводы и изменила свой бизнес-процесс.

Я конечно представляю как меня там кто-то вспоминал "добрыми словами", но я всегда был и буду за обратную связь, да она иногда не приятная, жалобщиков не любят, но критику нужно воспринимать и если она реальная делать выводы и обучатся.

7

круто всё правильно сделали :) И директор компании правильно отреагировал. Такое допускать - это ужас.

Адекватная обратная связь по существу, да еще и с правильными предложениями по улучшению - это просто золото для компании :)

1

Комментарий Gett один - ст.272 УК РФ

–3

Халатность?

4

Неправомерный доступ к компьютерной информации

ч.1 как раз подходит, за нее притягивают over дофига:
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо <b>копирование компьютерной информации</b>, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

–2

уничтожение, блокирование, модификацию либо <b>копирование компьютерной информации</b>

Этого ничего не произошло, в чем смысл коммента?

3

Скриншот закрытой информации (списка сотрудников) уже тянет на "копирование".

1

Если бы кто-то и хотел скопировать, извлечь выгоду из этого и пр., давно бы уже продали статью тому же таксовичкову и слили бы в сеть все пользовательские данные по-тихому. Такой бы скандал был бы!
Так что это еще нормально и правильно сделано

1

Вот потому мы в своем проекте на всегда оказались от паролей.

1

Согласен... Гёт после смены направления стал сильно терять сферу в России. Может они забили на такси? Заказов мало,качество ниже. Дозвониться до техподдержки проблема.

1

Комментарий удален

Маразм какой-то, сфейлить на такой очевидной штуке.

Они бы еще на сайте в FAQ'е написали этот пароль и давали ссылку на эту статью в регистрационном письме.

0

Комментарий удален

Gettaxi - деградирует в России

–1

Комментарий удален

Читать все 16 комментариев
Что Tele2 предлагает клиентам в «черную пятницу»

На главной распродаже года клиентов компании ждут сразу несколько интересных предложений: скидки на смартфоны, пакеты SMS и безлимитный трафик на YouTube, Яндекс.Карты, Яндекс.Навигатор.

Хочу кухню как у подруги: зачем в Циан сделали поиск квартир по фото

Рассказывает Юлия Зыкова, руководитель команды «Аудитория» в Циан.

Кнопка 112 - приложение с определением адреса и большой кнопкой вызова
Завод по производству идей. Как работают акселераторы, зачем они нужны стартапам и куда идти с идеей прямо сейчас

По данным Startup Genome, 9 из 10 стартапов терпят неудачу. Возможных причин «смерти» много: недостаточно протестированная гипотеза, неподтвержденная юнит-экономика, неверная стратегия или просто неудача в подходе к продажам.

Из науки в IT: как создать свой стартап и стать преподавателем

Как перейти в IT из другой сферы? Как разработать курс, которому нет аналогов? Как студенту получить максимум пользы от занятий? Рассказывает преподаватель OTUS Сергей Окатов, руководитель курсов «Kotlin Backend Developer» и «Kotlin Developer. Basic».

5 неожиданных сервисов Почты России, которые постоянно выручают меня в бизнесе

В прошлом году я открыл для себя совершенно удивительные фишки Почты России. С тех пор апка Почты у меня на главном экране в айфоне.

Wildberries обязал покупателей оплачивать возвраты товара, если те получены или уже переданы в доставку
Авито возглавила три рейтинга App Annie
@АнтиспамБот — когда ты реальная заноза в з@днице, или как давали отпор «П0шлым_Дев4енкам»

Прошло меньше двух недель с того дня, как в статье на vc.ru я рассказал про @antispamname_bot, предназначенный для борьбы со спамом в никнейме юзеров телеграмма вида «PEАЛЬНЫЕ_ZНAКОМСТVА» и «ПОИСК_PAPTHЕRОV». В новой статье я поделюсь тем, как прошли эти 10 дней: как бота подключили огромные чаты медиа изданий с аудиторией 100 000+ человек, чаты…

Как за 150 тыс. руб. мы увеличили продажи на 67 млн. руб. в месяц

Для нас эта история о том, как начать собирать базовые данные и работать с аналитикой. Для заказчика - это порочный круг из непонимания причин снижения продаж и отсутствия объективных решений.

null