Я нашел способ отследить всех водителей «Ситимобила»
В субботу вечером я, как всегда, сидел и снифил трафик со своего телефона. Внезапно, открыв приложение «Ситимобила», я увидел, что запрос на получение информации о ближайших машинах выполняется без какой-либо аутентификации.
Всем привет. Сергей, ещё раз здравствуйте. Ситимобил на связи.
Мы внимательно изучили всю ситуацию, описанную Сергеем Крупником. Мы ожидаем, что все детали найденных дефектов, а также любые вопросы касающиеся уязвимостей, будут сначала заданы нам в тикете на HackerOne (https://hackerone.com/reports/756833). В данной ситуации мы не получили всех тех деталей, которые описаны в статье, и очень ждем от автора, что в будущем вместе с ним лично будем обсуждать любые возникающие вопросы.
Теперь по существу. Отображение доступных машин поблизости без пассажиров — штатная функциональность любого приложения по заказу такси, которую на данный момент нет планов менять. Описанный баг не позволял получить данные водителей Ситимобил с пассажирами и не позволял трэкать их перемешения. В любом случае, у нас есть план технически ограничить получение подобных данных.
По условиям программы Bug Bounty мы не можем можем выплатить вознаграждение после открытой публикации уязвимости. Но от команды Ситимобил считаем важным выдать вознаграждение за сообщение об этой возможности и проделанные усилия для её описании. Мы также готовы предложить Крупнику присоединиться к инженерной команде Ситимобил. Ещё мы призываем всех специалистов, кто занимается безопасностью пользовательских данных, сообщать нам о найденных уязвимостях через сайт HackerOne. Ситимобил очень серьёзно относиться к любым найденным уязвимостям и готов сотрдуничать со всеми, кому не безразлична эта тема. Мы также готовы выплачивать достойные вознаграждения за найденные баги в наших продуктах, но в рамках правил площадки HackerOne.
Странно, что вы «не получили всех деталей описанных в статье», в отчете на HackerOne явно видно, что отчёт полностью отражает ситуацию переданную в статье, а под статьей ваше мнение, что это не является уязвимостью «по вашему мнению». Грустно.
Head of PR не знает правила тся/ться. Георгий, не благодарите — http://tsya.ru/
Комментарий недоступен
Георгий, добрый день! Я нашёл баг в вашем ответе. Тикет создал:
http://tsya.ru/
Здравствуйте, Георгий!
А не находите ли Вы, что в Вашем ответе противоречие? Как минимум в том, что сначала Вы написали, что это не уязвимость, а следом просите и других инженеров сообщать о багах в вашем сервисе?
Кроме того, автор статьи сразу написал в техническую поддержку, которая также не потрудилась вникнуть в суть проблемы.
В статье по полочкам разложено, что можно выжать из «общедоступной» информации, а Вы, вроде как, это пропустили.
По условиям программы Bug Bounty мы не можем можем выплатить вознаграждение после открытой публикации уязвимости.
...
В любом случае, у нас есть план технически ограничить получение подобных данных.
...
Мы также готовы выплачивать достойные вознаграждения за найденные баги в наших продуктах, но в рамках правил площадки HackerOne.
Это что же получается...
Вы открыто признаёте, что планируете ограничить получение этих данных. Но тикет на HackerOne закрыли, сообщив, что это не уязвимость (и таким образом не оставили шансов автору поста заработать, независимо от факта публикации этого поста). И при этом, предлагаете людям и дальше писать вам на HackerOne?
только в суд как Рамблер не подавайте, и уже хорошо ;)
"относиться"?
Пусть тебе компания оплатит курсы по русскому языку.
Пиздец какой-то
не позволял трэкать их перемешенияА вот в этом я не уверен. Множество раз как пользователь пытался вызывать ситимобил, на карте рядом показывалось огромное количество машин, но никто меня не брал. Все не мог понять в чем подвох. Пообщался с водителями - говорят, что на карте отражаются ВСЕ машины: и занятые, и свободные. Не понимаю, зачем их все выводить, наверное, чтобы создать впечатление большого парка и быстрой возможности уехать. Но факт остается - вы даже в интерфейсе выводите не только свободные машины.
двойной пробел
перемешения Ситимобил очень серьёзно относиться сотрдуничать
Георгий волновался.
Мэйлру снова Мейлру, прямо удивительно, да?
Кому в рамках программы HackerOne mail.ru выплатил деньги или все были недостойны?
А от закрытой, вы закроете как дубликат :) Я вас знаю. Больше репортить не буду. Даже спасибо не скажете. Скажите честно бюджета на это нет. Нас имеют за такие ошибки, они влияют на КПИ или еще на что-то. Можно же без политоты. Получили оф ответ, так как эта история стала известна и у вас подгорает 5 точка.
Мне этот случай напомнил историю с Pokemon Go, та же уязвимость можно было отследить и поймать всех покемонов. Niantic не говорили, что это не проблема и api работает как должно.
компания тратит столько денег на доставучую рекламу, а когда появился повод поговорить реально в паблике решили дать скучную отписку. пиарщикам памятник!
OOO! Георгий, как вы кстати.... У меня немного не по теме... Я заказала такси в Ситимобил 19 сентября с работы в районет22.15 с ул.Красносельской дом 9 до ул Красноярской 9. На Щелковскоом шоссе дом 72 попала с вашим водителем в аварию. Круто так попали, благо машина хорошая Тойота и сработали задние подушки. Ноги все в крови и шишках, грудь и спина отбита, голова в шишках (это я уже потом все ощутила). После аварии шок, еле выпала из машины... Прострация, ничего не понимаю, просидела на бордюре полчаса. Потом, придя в себя, сняла на видео аварию. Запись есть . Позвонила в службу вашей поддержки чтоб вызвать снова такси до дома, при этом , обьяснив ситуации... Мне леденящим голосом ответили, что с меня 180 рублей... Ок. А теперь я вас хочу спросить это нормально????????????????? Ведь когда мы попали в аварию, диспетчер по громкой связи кричала - "ВЫ попали в аварию????????? " И что, зная причину , которую я рассказала нельзя было предложить любое проезжающее или находившееся такси поблизости в качестве компенсации??? Я не стала дожидаться ДПС и скорой.... Хотя, могла бы после этого предьявить вам претензии.. Но, когда я позвонила в службу поддержки и попросила номер и имя водителя, мне отказали. Так вот, будьте любезны, мне сообщите лично по тел 8-903-658-0636 фио водителя и тел... У меня теперь депрессия и страх, и если вызываю такси (о, бедные водители) прошу их ехать максимально внимательно и не гнать... Ну что,Георгий, перезвоните мне? А потом тут отпишусь о нашем разговоре...