{"id":10776,"title":"\u0411\u043b\u0430\u0433\u043e\u0434\u0430\u0440\u044f \u044d\u0442\u043e\u043c\u0443 \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u0443 \u0432 \u043e\u043a\u0435\u0430\u043d \u043f\u043e\u043f\u0430\u0434\u0451\u0442 \u043c\u0435\u043d\u044c\u0448\u0435 \u043f\u043b\u0430\u0441\u0442\u0438\u043a\u0430","url":"\/redirect?component=advertising&id=10776&url=https:\/\/vc.ru\/acer_russia\/347915-acer-vypustila-pervyy-noutbuk-iz-pererabotannogo-plastika&placeBit=1&hash=368c351f012741e124bb4bc6c0b9b05d5e0f9033fab83ea5e301424877f73936","isPaidAndBannersEnabled":false}

Я нашел способ отследить всех водителей «Ситимобила»

В субботу вечером я, как всегда, сидел и снифил трафик со своего телефона. Внезапно, открыв приложение «Ситимобила», я увидел, что запрос на получение информации о ближайших машинах выполняется без какой-либо аутентификации.

Выполнив этот запрос несколько раз с разными параметрами, я понял, что можно выгружать данные о таксистах практически в реалтайме. Вы только представьте, сколько интересного можно теперь узнать!

С чего все началось?

Да, я действительно сидел и смотрел трафик с телефона. Дело в том, что я инженер и постоянно изучаю, как работают технологии и разные вещи вокруг меня. Так было и в этот раз.

Я нашел уязвимость и написал в Mail.ru Group. Буквально через 3 минуты мне ответили, что эти данные открытые и их не нужно защищать.

Ну раз так, давайте развлекаться!

Анализируем «Ситимобил»

Я написал алгоритм, который за пару десятков секунд собирает информацию о всех таксистах «Ситимобил», которые сейчас на линии в Москве и Московской области. Вот как он работает:

О технических деталях я подробнее говорю в статье на «Хабре», а пока давайте сосредоточимся на результатах.

Думаете, сколько водителей на линии в воскресенье утром?

4374
таксистов «Ситимобил» на линии в Москве в 11:00 в воскресенье

Но разве нас интересует срез? Давайте посмотрим в динамике.

Найс. А как эти водители распределены в пространстве?

Ну и напоследок давайте проследим за каким-нибудь водителем.

Вот, видно маршрут. А ведь можно еще поднять частоту опроса и получить более точные данные.

И что такого?

А то, что данные вроде как важные.

Во-первых, можно оценить долю рынка и доходность компании «Ситимобил».

Во-вторых, на месте другого агрегатора (например, «Яндекс.Такси») я бы использовал данные о положении таксистов конкурентов. Для ценообразования, например. Или вычислил водителей, работающих и там и там, на основе корреляций в геопозициях.

В-третьих, раз можно отследить конкретного таксиста, можно отследить и его клиента. Это уже серьёзно. По факту можно узнать, куда уехал человек на «Ситимобиле», если вы знаете, где он сел в такси.

Заключение

Не нужно недооценивать важность данных, которые показываются клиенту.

Если Mail.ru Group все еще считает, что эту информацию не нужно защищать, то «Яндекс.Такси», вот вам гора данных. С её помощью вы сможете забрать часть прибыли «Ситимобила».

Если же Mail.ru Group признаёт, что данные чувствительные, и закрывает к ним доступ, то будет честно выплатить вознаграждение по bug bounty.

Как, думаете, ещё можно использовать данные о таксистах?

Спасибо, что дочитали! Надеюсь, вам было интересно.
Успехов!

(function(w, d, id) { var h = 5000; var a = d.querySelector('#volvo-head'); var b = d.querySelector('[data-content-id="'+id+'"]'); var i = []; if (a && b) { a.style.display = 'block'; startSlideShow(); } var c = 0; var id = 0; function startSlideShow() { i = [].slice.call(a.querySelectorAll('.volvo-head__text span')); nextSlide(); }; function changeSlide() { var p = c; c += 1; if (c >= i.length) { c = 0; } if (i[p]) { i[p].classList.remove('volvo-head__active'); } if (i[c]) { i[c].classList.add('volvo-head__active'); } }; function nextSlide() { id = setTimeout(function() { var a = d.querySelector('#volvo-head'); if (a) { changeSlide(); nextSlide(); } }, h); }; }(window, document, 137185));
0
177 комментариев
Популярные
По порядку
Написать комментарий...
Георгий Лобушкин

Всем привет. Сергей, ещё раз здравствуйте.  Ситимобил на связи.

Мы внимательно изучили всю ситуацию, описанную Сергеем Крупником. Мы ожидаем, что все детали найденных дефектов, а также любые вопросы касающиеся уязвимостей, будут сначала заданы нам в тикете на HackerOne (https://hackerone.com/reports/756833). В данной ситуации мы не получили всех тех деталей, которые описаны в статье, и очень ждем от автора, что в будущем вместе с ним лично будем обсуждать любые возникающие вопросы. 

Теперь по существу. Отображение доступных машин поблизости без пассажиров — штатная функциональность любого приложения по заказу такси, которую на данный момент нет планов менять. Описанный баг не позволял получить данные водителей Ситимобил с пассажирами и не позволял трэкать их перемешения. В любом случае, у нас есть план технически ограничить получение подобных данных. 

 По условиям программы Bug Bounty мы не можем можем выплатить вознаграждение после открытой публикации уязвимости. Но от команды Ситимобил считаем важным выдать вознаграждение за сообщение об этой возможности и проделанные усилия для её описании. Мы также готовы предложить Крупнику присоединиться к инженерной команде Ситимобил. Ещё мы призываем всех специалистов, кто занимается безопасностью пользовательских данных, сообщать нам о найденных уязвимостях через сайт HackerOne. Ситимобил очень серьёзно относиться к любым найденным уязвимостям и готов сотрдуничать со всеми, кому не безразлична эта тема. Мы также готовы выплачивать достойные вознаграждения за найденные баги в наших продуктах, но в рамках правил площадки HackerOne. 

Ответить
Развернуть ветку
Ratomir Drago

В Рамблере не был сисадмином?

Ответить
173
Развернуть ветку
Сергей Икрин

Ждем иск от Рамблер на долю в Bug Bounty? :)

Ответить
57
Развернуть ветку
Ratomir Drago
Ответить
7
Развернуть ветку
Методический корабль

Комментарий удален по просьбе пользователя

Ответить
0
Развернуть ветку
Виталий Воробьев

Подключаете к автопарку?

Ответить
456
Развернуть ветку
Skorpyon

Это пять. Я аж чаем поперхнулся. Тянет на комент месяца )))

Ответить
36
Развернуть ветку
Юрий Крупин

на коммент года!!!)

Ответить
4
Развернуть ветку
Isac Ginzbourg

Agree! well nailed

Ответить
0
Развернуть ветку
Igor Shkarin

А что там было? 🙄

Ответить
3
Развернуть ветку
Андрей Салмин
Ответить
23
Развернуть ветку
Andrew Solovov

 Яндекс.Такси, вот вам гора данных

Спалил тему
Яндекс наверное сейчас вас такими ху**ми поливает 

Ответить
124
Развернуть ветку
Семен Смирнов

Яндекс, разработавший собственные карты и навигатор, не знает о бесплатном Fiddler

Самим не смешно такое писать?)

Ответить
4
Развернуть ветку
Dmitry Yankovoy

Не умеете в иронию?

Ответить
15
Развернуть ветку
Konstantin Smirnov

А при чем тут фиддлер как таковой?

Ответить
1
Развернуть ветку
Семен Смирнов

Де факто стандарт исследования трафика на пользовательском уровне, которым владеет любой тестировщик стажёр . Если бы Яндекс не имел сложной сети мониторинга конкурентов, он и сам бы смог прочитать трафик в приложении

Автор пытается сорвать покровы на пустом месте

Ответить
5
Развернуть ветку
Юрий Другач

Как выйгравший 2 багбаунти от Яндекса, могу сказать, что оги много чего не знают

Ответить
3
Развернуть ветку
Добрый Песец

Войн йнтернета?

Ответить
1
Развернуть ветку
Slava Itprofi

Данные в паблике, отлично! Это же можно применить в мирных целях, есть идея для приложения "Усталый водитель". Берем водителей и чекаем их по интервалу, считаем время от момента, когда водитель вышел на линию и до до тех пор, пока перестанет откликаться большой промежуток времени(отдых). Ставим каждому шкалу от зеленого (только вышел) к красному (более 12 часов на линии)  с пиктограммками от "выспавшийся гепард" до "неспящий зомби". Далее человек ловит такси, запускает приложение, и по позиции вычисляются и показываются сорта водителей вокруг))

Ответить
61
Развернуть ветку
Dmitry Yankovoy

Выспавшийся гепард может быть не таким свежим после пары смен в убере/яндексе

Ответить
53
Развернуть ветку
Slava Itprofi

Это да, тут могу только уповать на жадность водителей, которые держат все виды агрегаторов онлайн. В таком случае приложение будет работать, даже если клиент вызывает убер/яндекс, тогда еще раз говорим спасибо ситимобилу за общую базу)

Ответить
3
Развернуть ветку
Вадим Демидов

"сорта водителей"! Шедевр. Первый рабочий день, уныние, день длинный. Очень длинный. И тут! "Сорта водителей"! Благодарю, товарищ!

Ответить
0
Развернуть ветку
Георгий Лобушкин

Всем привет. Сергей, ещё раз здравствуйте.  Ситимобил на связи.

Мы внимательно изучили всю ситуацию, описанную Сергеем Крупником. Мы ожидаем, что все детали найденных дефектов, а также любые вопросы касающиеся уязвимостей, будут сначала заданы нам в тикете на HackerOne (https://hackerone.com/reports/756833). В данной ситуации мы не получили всех тех деталей, которые описаны в статье, и очень ждем от автора, что в будущем вместе с ним лично будем обсуждать любые возникающие вопросы. 

Теперь по существу. Отображение доступных машин поблизости без пассажиров — штатная функциональность любого приложения по заказу такси, которую на данный момент нет планов менять. Описанный баг не позволял получить данные водителей Ситимобил с пассажирами и не позволял трэкать их перемешения. В любом случае, у нас есть план технически ограничить получение подобных данных. 

 По условиям программы Bug Bounty мы не можем можем выплатить вознаграждение после открытой публикации уязвимости. Но от команды Ситимобил считаем важным выдать вознаграждение за сообщение об этой возможности и проделанные усилия для её описании. Мы также готовы предложить Крупнику присоединиться к инженерной команде Ситимобил. Ещё мы призываем всех специалистов, кто занимается безопасностью пользовательских данных, сообщать нам о найденных уязвимостях через сайт HackerOne. Ситимобил очень серьёзно относиться к любым найденным уязвимостям и готов сотрдуничать со всеми, кому не безразлична эта тема. Мы также готовы выплачивать достойные вознаграждения за найденные баги в наших продуктах, но в рамках правил площадки HackerOne. 

Ответить
–157
Развернуть ветку
Dmitry Turmyshev

Странно, что вы «не получили всех деталей описанных в статье», в отчете на HackerOne явно видно, что отчёт полностью отражает ситуацию переданную в статье, а под статьей ваше мнение, что это не является уязвимостью «по вашему мнению». Грустно.

Ответить
106
Развернуть ветку
David R

Поясните пожалуйста, в чем уязвимость если на карте пустые машины без пассажиров?

Ответить
–1
Развернуть ветку
Майский жук

Есть ли смысл вам пояснять, если вы сами не в состоянии понять что можно проворачивать имея доступ к таким данным..?

Ответить
11
Развернуть ветку
David R

Я задал простой вопрос. Вы поленились на него ответить, зато не поленились учителя включить. Расскажите какие такие штуки можно проворачивать зная данные о пустых автомобилях?

Ответить
16
Развернуть ветку
Dmitry Yankovoy

Вы пост читали?

Ответить
3
Развернуть ветку
David R

По существу вопроса можете написать?

Ответить
1
Развернуть ветку
Александр Медведь

Та какие пустые машины??? По вашему водитель чей трек показывали пол Москвы пустым исколесил???

Ответить
15
Развернуть ветку
David R

Водитель стоит утром в одном месте, в обед поехал стал в другое...они же знают в какие часы где спрос. Потом поехал по своим делам, все сделал и включил приложение и вот он уже в другом районе

Ответить
–16
Развернуть ветку
Александр Медведь

Там чётко виден трек, водитель выполняет заказы... Таксисты не колесят пустыми по Москве несколько часов в поисках заказов, иначе они с голоду умрут при нынешней стоимости заказов... Они сейчас их выполняют нон стопом и данный водитель как раз видно, что выполнил несколько заказов!!!

Ответить
24
Развернуть ветку
David R

Может быть как я написал, а может быть так как вы написали. Но речь ведь не про это. Речь про то какой вред/пользу это может принести кому-то (пассажиру или Сити/Яндексу)?

Ответить
–6
Развернуть ветку
Александр Медведь

Любой человек имеет доступ к таким данным, тут трудно предсказать последствия... Самое безобидное вдруг у водителя супруга ревнивая или у пассажирки супруг... В любом случае подобное нельзя выкладывать на обозрение всем!!!

Ответить
3
Развернуть ветку
David R

В этом и проблема, что более-менее реальный кейс использования этих данных в практичных целях не даёте, и автор не даёт...но пишите об их опасности. 

По поводу ревнивых жён/мужей или слежения за кем-то :
1) Проще поставить приложение для отслеживания координат и вы будете знать дом в котором находится человек, а не улицу на которой он вышел и неизвестно куда ушел.
2) Открыть почту с ПК и посмотреть маршрут такси по чеку/треку которые высылают на почту (по крайней мере Яндекс)
3) Сервисы такси не самый надежный способ выявить измену/отследить человека, слишком много всяких «если и но». Например, вы вышли с работы из бизнес центра и заказали Сити. Как ваша жена узнаёт в какой вы машине чтобы следить за треком? Наверное возле БЦ больше одной машины Сити....и вот таких всяких условностей вагон, чтобы по такому треку отследить человека..да и сам автор пишет про плюшки конкурентам, а не про вред пассажирам. Хотя плюшек Яндексу я тоже не вижу

Ответить
9
Развернуть ветку
Michael Smith

День первый
Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой:  "Я, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!"
...

Ответить
36
Развернуть ветку
Андрей Серебренников

Уязвимость реально крутая, т.к:

1) Выяснено, что можно выполнять дохулион запросов в сторону сервиса и нет каких-либо ограничений по запросам с одного и того же ip, а это, соответственно, очень хорошая возможность для качественного DDOS сервиса.

2) Если выполняем п.1, то другие агрегаторы начинают получать больше заказов, а значит - больше прибыли.

Ответить
15
Развернуть ветку
Влад Берг

Про реальные кейсы тебе в даркннте расскажут умнег.

Ответить
5
Развернуть ветку
DBocha

Где такси исчезло там пассажир взят
Так где появилось. Пассажир высажен.

Ответить
7
Развернуть ветку
Blackrock

А номера машин видны ? 

Ответить
1
Развернуть ветку
Alexey Bulgakov

Давайте я отвечу. Цена предложения коррелирует с количеством доступных машин в потенциальной точке заказа. 

Очень упрощенный пример: Если у Яндекс.Такси 5 машин в точке заказа, то цена могла быть условно 100, но если Яндекс.Такси знает, что у Ситимобил в этой точке 1 машина и цена 200, то Яндекс.Такси может поставить цену 190, его предложение все еще будет лучшим, но маржа вырастет.

Ответить
4
Развернуть ветку
Аркадий Рутман

Вы, видимо, привыкли сидеть в прохладной серверной перед тремя мониторами, и теперь считаете, что все делают так же. Особенно пассажиры такси, которые открывают аналитику по району с динамикой цен на поездки... И когда вдруг цена в одном из сервисов идёт вниз пассажир машет руками, подаёт специальные знаки и кричит Покупаем, покупаем, покупаем... Так и растёт маржа сервиса на колебании курсов. Это мир биг дата. Это мир трёх мониторов.

Ответить
–2
Развернуть ветку
Alexey Bulgakov

В переводе с претенциозного на русский, вы считает что народ не щелкает между приложениями и не сравнивает цены? 

Ответить
10
Развернуть ветку
Николай Каменев

Я Вам секрет открою, есть приложение которое показывает цену на поездку в разных агрегаторах

Ответить
8
Развернуть ветку
Sergey Badaev

Это приложение не учитывает ни ваши скидки, если они есть, ни персональные предложения. Смотрю цену по одному и тому же маршруту в родном приложении и в сравнивалке - цены разные. И смысл в нем тогда?

Ответить
0
Развернуть ветку
Степан Позняк

При чём ладно специализированное приложение
Даже гугл карты это делают

Ответить
–2
Развернуть ветку

Комментарий удален

Развернуть ветку
Сергей Воробьёв

Спам детектед!

Ответить
0
Развернуть ветку
Dmitry Turmyshev

Да нет, не в чем, мы же за открытые данные и прозрачность компаний. Просто гражданин из сити предъявляет претензии к сути содержимого в отчете, но кмк отчёт достоверно передаёт суть статьи, указал больше на лукавство.
А так, если хочет мэил делиться данными - отлично. Наверное теперь нагрузка на инфраструктуру чуть увеличится, начнут энтузиасты эксперименты ставить и фетчить данные в циклах, конкуренты уже оценили, думаю.
Наверное, можно такими запросами узнать планы сити по выходу в новые регионы.
Наверное, можно придумать 1003 способа использования хорошо структурированных данных.
Но, разумеется, такое отношение к данным, - это нормально, не проблема - кому это нужно? Как и ваши перс данные в следующий раз и соответствующее отношение «крупных и ответственных» компаний к этому.

Ответить
5
Развернуть ветку
Arthur N

Head of PR не знает правила тся/ться. Георгий, не благодарите — http://tsya.ru/

Ответить
43
Развернуть ветку
Георгий Лобушкин

а вот это уже уязвимость посерьёзнее =(

Ответить
66
Развернуть ветку
Mikhail Stroev

Спасибо, мы ожидаем, что все детали найденных дефектов, а также любые вопросы касающиеся уязвимостей, будут сначала заданы нам в тикете на HackerOne

Ответить
44
Развернуть ветку
Разный историк

Ребят, вы обосрались. Когда реакция включается после обнародования, а не тет-а-тет, то это факап. И уже не важно официальная ли это позиция или вы не можете надрессировать техподдержку на адекватную реакцию на старте вместо отписок.

Ответить
42
Развернуть ветку
Yaroslav Shulga

Обосраться это полбеды. Полная беда - это когда обосравшись делаешь вид и упорно доказываешь всем, что ничего не произошло, хотя все окружающие начинают по стойкому штыну догадываться, что все-таки что-то произошло...

Ответить
37
Развернуть ветку
Разный историк

Ага) Тут уже точно по ляжкам течёт, но Остап не подаёт виду.

Ответить
2
Развернуть ветку
Виктор Бражников

Георгий, добрый день! Я нашёл баг в вашем ответе. Тикет создал:
http://tsya.ru/

Ответить
44
Развернуть ветку
Johnny Vorony

Здравствуйте, Георгий!

А не находите ли Вы, что в Вашем ответе противоречие? Как минимум в том, что сначала Вы написали, что это не уязвимость, а следом просите и других инженеров сообщать о багах в вашем сервисе?
Кроме того, автор статьи сразу написал в техническую поддержку, которая также не потрудилась вникнуть в суть проблемы.

В статье по полочкам разложено, что можно выжать из «общедоступной» информации, а Вы, вроде как, это пропустили.

Ответить
27
Развернуть ветку
Anton Popovich

По условиям программы Bug Bounty мы не можем можем выплатить вознаграждение после открытой публикации уязвимости.

...

В любом случае, у нас есть план технически ограничить получение подобных данных.

...

Мы также готовы выплачивать достойные вознаграждения за найденные баги в наших продуктах, но в рамках правил площадки HackerOne. 

Это что же получается...

Вы открыто признаёте, что планируете ограничить получение этих данных. Но тикет на HackerOne закрыли, сообщив, что это не уязвимость (и таким образом не оставили шансов автору поста заработать, независимо от факта публикации этого поста). И при этом, предлагаете людям и дальше писать вам на HackerOne?

Ответить
19
Развернуть ветку
Wolodimir Polchenski

только в суд как Рамблер не подавайте, и уже хорошо ;)

Ответить
9
Развернуть ветку
Sergey Redmi

"относиться"? 
Пусть тебе компания оплатит курсы по русскому языку. 
Пиздец какой-то 

Ответить
8
Развернуть ветку
Тёма Томилин

не позволял трэкать их перемешения
А вот в этом я не уверен. Множество раз как пользователь пытался вызывать ситимобил, на карте рядом показывалось огромное количество машин, но никто меня не брал. Все не мог понять в чем подвох. Пообщался с водителями - говорят, что на карте отражаются ВСЕ машины: и занятые, и свободные. Не понимаю, зачем их все выводить, наверное, чтобы создать впечатление большого парка и быстрой возможности уехать. Но факт остается - вы даже в интерфейсе выводите не только свободные машины. 

Ответить
7
Развернуть ветку
Василий Сапрыкин

двойной пробел
перемешения
Ситимобил очень серьёзно относиться
сотрдуничать

Георгий волновался.

Ответить
6
Развернуть ветку
Alex Bee

там выше уже тикет создали по этому багу

Ответить
2
Развернуть ветку
Sam Beckett

Мэйлру снова Мейлру, прямо удивительно, да?

Ответить
4
Развернуть ветку
Sergey Redmi

Похоже, там у них собеседования - это фильтр, чтобы только таких отбирать

Ответить
6
Развернуть ветку
Ivan Efimov

Кому в рамках программы HackerOne mail.ru выплатил деньги или все были недостойны?

Ответить
3
Развернуть ветку
Ivan Efimov

А от закрытой, вы закроете как дубликат :) Я вас знаю. Больше репортить не буду. Даже спасибо не скажете. Скажите честно бюджета на это нет. Нас имеют за такие ошибки, они влияют на КПИ или еще на что-то. Можно же без политоты. Получили оф ответ, так как эта история стала известна и у вас подгорает 5 точка.

Ответить
2
Развернуть ветку
Ivan Efimov

Мне этот случай напомнил историю с Pokemon Go, та же уязвимость можно было отследить и поймать всех покемонов. Niantic не говорили, что это не проблема и api работает как должно.

Ответить
0
Развернуть ветку
Denis Evstigneev

компания тратит столько денег на доставучую рекламу, а когда появился повод поговорить реально в паблике решили дать скучную отписку. пиарщикам памятник!

Ответить
0
Развернуть ветку
Солнце

OOO! Георгий, как вы кстати.... У меня немного не по теме... Я заказала такси в Ситимобил 19 сентября с работы в районет22.15 с ул.Красносельской дом 9 до ул Красноярской 9. На Щелковскоом шоссе  дом 72 попала с вашим водителем в аварию.  Круто так попали, благо машина хорошая Тойота и сработали  задние подушки. Ноги все в крови и шишках, грудь и спина отбита, голова в шишках (это я уже потом все ощутила). После аварии шок, еле выпала из машины... Прострация, ничего не понимаю, просидела на бордюре полчаса. Потом, придя в себя, сняла на видео аварию. Запись есть . Позвонила в службу вашей поддержки чтоб вызвать снова такси до дома, при этом , обьяснив ситуации... Мне леденящим голосом ответили, что с меня 180 рублей... Ок. А теперь я вас хочу спросить это нормально????????????????? Ведь когда мы попали в аварию, диспетчер по громкой связи кричала - "ВЫ попали в аварию????????? " И что, зная причину , которую я рассказала нельзя было предложить любое проезжающее или находившееся такси поблизости в качестве компенсации??? Я не стала дожидаться ДПС и скорой.... Хотя, могла бы после этого предьявить вам претензии.. Но, когда я позвонила в службу поддержки и попросила номер и имя водителя,  мне отказали. Так вот, будьте любезны, мне сообщите  лично по тел  8-903-658-0636 фио водителя и тел... У меня теперь депрессия и страх, и если вызываю такси (о, бедные водители) прошу их ехать максимально внимательно и не гнать... Ну что,Георгий, перезвоните мне? А  потом тут отпишусь о нашем разговоре...

Ответить
0
Развернуть ветку
Valentin Dombrovsky

«Буквально через 3 минуты мне ответили, что эти данные открытые и их не нужно защищать».

Вот сейчас кому-то люлей влетит...

Ответить
48
Развернуть ветку
Mike Kosulin

«Это не баг, а фича»

Ответить
18
Развернуть ветку
Юрий Другач

Мне кажется, что пока уязвимости с багбаунти прилетают самим разработчикам, а не отдельным людям, такая херабора и будет твориться дальше.

Ответить
1
Развернуть ветку
Pixel Lens
Ответить
16
Развернуть ветку
Michael Smith

А за что влетит, у них это публичный REST, он ответил все верно.

Ответить
3
Развернуть ветку
Yaroslav Shulga

Красавчик! 👍

Ответить
27
Развернуть ветку
Сергей Крупник

Спасибо!

Ответить
17
Развернуть ветку
Виталик Орлов

Здравствуйте, Сергей! Куда можно вам написать? 

Ответить
0
Развернуть ветку
Mark

Зачем?

Ответить
3
Развернуть ветку
Pixel Lens

Вопросы тут задаёт Виталик. А ты бы на всякий случай упал-отжался.

Ответить
82
Развернуть ветку
Разный историк

Сначала нужно в ударении определиться.

Ответить
4
Развернуть ветку
Сергей Щукин

А в три клика на профиль пользователя не умеете? 🤔

Ответить
1
Развернуть ветку
Юрий Белоножкин

В три клика тут можно только узнать, что, возможно, вы воспользовались недействительной ссылкой или страница была удалена.

Ответить
6
Развернуть ветку
Anton Chetverikov

После этих трех кликов нужно скопировать имя и вставить в поиске Facebook и вжух
 https://m.facebook.com/profile.php?id=100011663379788

Магия. 

Ответить
4
Развернуть ветку
Слава Вячеславов

Не, нет так. Красаучик, брат!

Ответить
1
Развернуть ветку
Roman Nz

Жи есть!

Ответить
0
Развернуть ветку
Александр Тарасов

Участвовал в bug bounty от Badoo, нашел способ авторизоваться под учетными записями новых (и не очень) пользователей. Оформил отчет, сказали не баг. Больше не участвую.

Ответить
26
Развернуть ветку
Разный историк

Баг то пофиксили потом?

Ответить
2
Развернуть ветку
Александр Тарасов

Вероятнее всего да, но баг этот нашел не я один и на хабре есть статьи как его воспроизвести. Сейчас вроде не работает, особо не проверял.

Ответить
1
Развернуть ветку
Ivan Vishnyakov

Что бы сделали в сша после такого?

Ответить
1
Развернуть ветку
Александр Тарасов

Не знаю, какие варианты?

Ответить
0
Развернуть ветку
Ivan Vishnyakov

Полагаю, общественное осуждение после разборок на реддитах

Ответить
0
Развернуть ветку
Владимир Березин

Я когда подобные материалы читаю, то появляется ощущение, что я часть тупиковой ветви эволюции. :(

Ответить
23
Развернуть ветку
grey tiger

Mail.ru ни что особо не беспокоит. Ни важные данные, ни качество сервиса. Сам же Ситимобил скатился в г после поглощения. 

Ответить
18
Развернуть ветку
donJorhe .

Поглотить ресурсов хватает, а управлять и развивать - нет.  Да и задачи такой нет. 

Ответить
5
Развернуть ветку
Разный историк

Не знаю, что было до, но сейчас Ситимобил пришел ко мне в город и да, кроме цены плюсов нет. После Яндекса стрёмненько: чата нет; карта глюченая, точку хер поставишь без какой-то матери; опции "не звонить" нет; техподдержка отвечает часов через пять вместо пяти минут у Яши. Ну можно долго продолжать.

Ответить
5
Развернуть ветку
Лаборатория Butterfly

Вы очень крутой. Чем еще занимаетесь?

Ответить
8
Развернуть ветку
Сергей Крупник

Спасибо! Проекты разные делаю. Скоро будет материал про проект, который я делал последние несколько месяцев.

Ответить
27
Развернуть ветку
Поверхностный теркин30см

Комментарий удален по просьбе пользователя

Ответить
14
Развернуть ветку
Разный историк

Подписался)

Ответить
1
Развернуть ветку
Сергей Крупник

Спасибо! Проект стоит того)

Ответить
2
Развернуть ветку
David R

Автор, можно поконкретнее примеры как эти данные помогут конкурентам забрать часть прибыли Ситимобил? А то складывается ощущение, что вы получили данные и вам кажется что это нечто ценное, а мне кажется что это вода - просто любопытство удовлетворить без какой-либо практической пользы конкурентам.

Вот знает Яндекс где/сколько катают Ситимобилы, а дальше что? Сделать рассылку этим водилам мол вот есть сервис Яндекс.Такси? Думаете они про него не знают? Думаете Яндекс в паре районов работает, а сейчас посмотрит карту движения Ситимобилов и начнёт по другим районам ездить? А местоположение водителей что даст? Это же не стационарные точки...водители там где пассажиры и если в каком-то районе мало водителей Ситимобила, то наверное там глухняк.

Почему вы считаете эти данные багом? Если там личные данные пассажиров есть  - однозначно баг. А если просто данные по машинам, то наоборот открытость и прозрачность - нечего скрывать.

Ответить
2
Развернуть ветку
Андрей Солозобов

По вашему, автор должен сразу сделать работу маркетологов и аналитиков?
Берите больше:
Он должен все это ещё упаковать в понятную презентацию и расписать бизнес-план по внедрению, чтобы те, кому это нужно, могли просто ответить «да, годится»

Ответить
14
Развернуть ветку
Pavel Volkov

Зря минусуете ребята, у карширингов эти эндпойнты для незанятых машин тоже открыты. На них работают агрегаторы к примеру.

Ответить
0
Развернуть ветку
Nikita Kharchenko

так какого черта, если их так много, машины в о о б щ е не приезжают?))))

Ответить
7
Развернуть ветку
Вадим Зуев

Они ж там жирные заказы все сидят ждут как мыши. 

Ответить
14
Развернуть ветку
Александр Медведь

В Ситимобиле не бывает жирных заказов))) там либо терпимо, либо вообще капец)))

Ответить
0
Развернуть ветку
Pranav Anandkumar

Потому что они все работают по Яндексу в то же время.

Ответить
1
Развернуть ветку
Павел Перминов

То есть когда мы видим, как пустые машины шатаются по городу - мы видим маршруты яндекса? ))))

Ответить
2
Развернуть ветку
Pranav Anandkumar

Если это машины Сити, то в основном да.

Ответить
0
Развернуть ветку
Степан Позняк

Вопреки словам представителей Ситимобил, на картах отображаются как свободные водители, так и принявшие заказ

Ответить
0
Развернуть ветку
Pavel Volkov

Эти данные открыты и у каршерингов и секрета с сенсацией тут нет. Каршеринг, который завтра закроет эти данные, скорее начнет проигрывать на рынке, потому что исчезнет из агрегаторов.

Точно такой же отчет и такие же картинки можно построить по положению незанятых машин каршерингов, а потом и маршруты по их перемещению между заказами.

Так что это точно часть открытого функционала, о которой Георгий Лобушкин тут и написал.

Рисков для пользователей сервиса нет, а польза для рынка есть.

Ответить
6
Развернуть ветку
Дмитрий Струков

Теоретическиц риск есть для таксиста - тебе водитель не поноавился, ты сразу такой траффик снифать, потом вычисляешь его место по id, даешь пизды. 

Или жена траффик посниффала, потом смотрит где ее муж без пассажира по часу стоит, приехала, застукала с любовницей. 

Нужно убирать id, вводить что-то другое, или вообще не выводить его. Хотя хз что у них в  id - мож там уже такое продуманно, какой-то хитровыдуманный хэш с постоянным обновлением. 

А может и хер с ним - нефиг пассажиров злить да по любовницам шляться. 

А так - согласен с вами. 

Ответить
5
Развернуть ветку
Борис Штейнвальдер

длинные ночные маршруты на юг ДС это за закладками

Ответить
7
Развернуть ветку
Юрий Белоножкин

Статья - идеальная демонстрация технических (и кое-каких других) навыков для резюме) Очень круто!!

Ответить
3
Развернуть ветку
Bulat Ziganshin

для резюме пен-тестера?

интересно, схантят ли меня здесь если я напишу статью об использовании FFT для быстрого вычисления кодов Рида-Соломона? LOL

Ответить
7
Развернуть ветку
Юрий Белоножкин

Визуализация данных, дата саентизм, вот это все. Умеете писать статьи, опять же))) Всё бизнесовые штуки. 

Ответить
1
Развернуть ветку
Bulat Ziganshin

вот-вот. на самом деле ни то и ни другое. думаю, аналогичный эффект и у этой статьи

Ответить
2
Развернуть ветку
Pranav Anandkumar

Это хороший первый этап. Резюме рассмотрят.

Ответить
1
Развернуть ветку
Vlad Kulikov

Сергей, думаю Вас быстро-быстро схантят сейчас)

Ответить
4
Развернуть ветку
Vlad Kulikov

А, уже! 
Тогда дам совет, прежде, чем принимать предложение соберите все! 

Ответить
5
Развернуть ветку
Igor Gusev

Сергей, а каким сниффером пользовался?
Чот проблема в последнее время https запросы посмотреть нормально

Ответить
1
Развернуть ветку
Сергей Крупник

mitmproxy - подробнее про техническую часть написал на Хабре: https://habr.com/ru/post/480956/

Ответить
13
Развернуть ветку
Denis Krivonosov

Сергей, спасибо за вашу статью. Было крайне интересно прочитать. Аж дважды (здесь и на хабре). Понимаю, что к самой проблеме (багбаунти программ,открытых данных, и способах эти данные защитить) мой комментарий не относится, но все же, не могли бы вы более подробно объяснить техническую часть. Тоже, порой, интересует как что устроенно, но соображалка не всегда работает в нужном направлении. Проблема с парсом https пакетов с андроид устройств из приложений. Ведь начиная с Андроид устройств версии 8.0+, насколько я понимаю, трюк с подменой сертификата на устройстве не работает, если явно не указать в манифесте самого приложения, что таким сертификатам можно доверять (Статья для примера https://android-developers.googleblog.com/2016/07/changes-to-trusted-certificate.html) Если вы расскажете, хотя бы вкратце, как вы обходите данное ограничение, буду очень признателен
P.S. Интересуюсь,если что, только в научных целях.

Ответить
–3
Развернуть ветку
Сергей Крупник

Смотрел трафик с айфона)

Ответить
3
Развернуть ветку
Denis Krivonosov

Понял, спасибо за ваш ответ, попробую с айфона)

Ответить
0
Развернуть ветку
Дмитрий Струков

Апк можно перепаковать и переподписать, при этом изменив манифест - в инете есть мануалы. 

Но проще - запустить на эмуляторе со старым Android, где подобного ограничения не было (только такое поведение не с 8ой, а вроде с 7ой версии, то есть запусеать надо с 6ой)

Некоторые аппы вообще юзают встроеннные в них сертификаты, недоверяя никому (сам не встречал, но на собеседовании в одном банке про такое говорили). В принципе, в перпакованном аппе и сертификат можно изменить, если там нет каких-то сложных проверок самого сертификата. 

По сабжу - не вижу тут ничего критичного - инфа реально не sensitive. Возможно, стоит убрать id водителя (если есть), чтоб исключить возможность построения маршрута. 

Защититься тут можно, и рейт лимитом и кучей других способов. Но это все - защита от дурака, если знающий человек задастся целью спарсить - то он спарсит - и через лист проксей прогонит, и апп декомпильнет чтоб разобрасться как защита работает.

По всей видимости ребята решили просто не заморачиваться, их право. 

Ответить
1
Развернуть ветку
Korian Sanders

wireshark на все времена

Ответить
4
Развернуть ветку
Wolodimir Polchenski

WireShark ФОРЕВА

Charle's Proxy тоже кул

Ответить
0
Развернуть ветку
Arthur N

Charles.

Ответить
2
Развернуть ветку
Leo Uvarov

Charles платный

Ответить
–1
Развернуть ветку
Arthur N

Разве в вопросе было «бесплатный»?

Ответить
20
Развернуть ветку
Old Car Raffle

Никаких проблем. Не а если вы ssl pinning не смогли - то вам значить это и не нужно.

Ответить
0
Развернуть ветку
Артём А.

Скорее всего не было certificate pinning - это на 2019 почти клинический случай, можно синффить с помощью первого попавшегося в гугл плее сниффера без рута. 
Кстати, если пользуетесь приложением без cert pinning, выключайте ваши бесплатные впн на время использования. Это для вас они бесплатные, а вас продадут за деньги, это и поможет окупить им расходы на впн сервера и гелик для сео.

Ответить
0
Развернуть ветку
Mikhail Sedov

Пытливый ум всегда находка! Интересно

Ответить
5
Развернуть ветку
Совместный жар

Комментарий удален по просьбе пользователя

Ответить
4
Развернуть ветку
Сергей Крупник

Спасибо! Рад, что понравилось)

Ответить
2
Развернуть ветку
Евгений Пелих

Яндекс наверняка уже давно знает об этом и активно пользуется

Ответить
4
Развернуть ветку
Sergey Chesnokov

Автор молодец! Ничего не понял, но вижу сколько людей благодарят, поэтому присоединяюсь!!!

Ответить
4
Развернуть ветку
Кирилл Крайнов
Ответить
3
Развернуть ветку
Игорь Комаров

Кайф, спасибо за статью!

Ответить
2
Развернуть ветку
Сергей Крупник

Спасибо! Рад, что понравилось)

Ответить
3
Развернуть ветку
Vl Al

"А то, что данные вроде как важные." - Самых активных нужно отлавливать и отбирать ВУ.

Ответить
2
Развернуть ветку
Yuri G

Разве после принятия заказа машина не исчезает с радаров?

Ответить
1
Развернуть ветку
Mark Rapida Gromov

с радара клиентского приложения — да. она же не растворяется в эфире совсем

Ответить
1
Развернуть ветку
Yuri G

Ну эту часть уж точно должны закрыть

Ответить
1
Развернуть ветку
The Real Life

Автор , предлагаю связаться . Есть ценное предложение . 

Ответить
–1
Развернуть ветку
Economic Security

Очень круто, особенно понравилось поездки клиентов! 👏

Ответить
0
Развернуть ветку
Сергей Крупник

Спасибо!

Ответить
3
Развернуть ветку
Oleg Oleg

Автор молодец.  
Правда, в мэйл ру могут передумать  и тогда ..., что то я сомневаюсь в их желании что-то выплатить. 

Ответить
1
Развернуть ветку
Дмитрий Суконкин

Класс предлагать попутный груз можно. Целый бизнес

Ответить
1
Развернуть ветку
Ivan Efimov

Нашел баг интергация рекламы mail.ru в вк. Можно было узнать какая реклама покажется любому пользователю вк. У друга болел зуб, с моего компьютера мне предлагают лечить зубы и купить снасти для рыбалки. День рождения сестры, мне предлагают купить суши и сделать ремонт в квартире, она делала ремонт.
Вот правильно сделал, снял и дал оффлайн ссылку на youtube этого видео.
Зарепортил баг как security issue.
Баг исправили, никаких $$$ не принесло, даже спасибо НЕ сказали.

Реклама: Можно узнать рекламные предпочтения любого пользователя 

Известно ли решение по данному багу? Будут фиксить?
06.09.18 20:54

> Новый статус отчёта – Закрыт

> В песочнице баллы не начисляются.
> 21.01.19 16:43

спасибо, что исправили)
22.01.19 14:18

"Быдло сервис какой-то", имхо.

Ответить
1
Развернуть ветку
Daria Chegarovskaya

Ответ саппорта лучше всего описывает политику компании.)

Ответить
1
Развернуть ветку
Evgeny Nepomnyashchiy

В субботу вечером я, как всегда, сидел и снифил трафик со своего телефона.
Значит я как-то не так провожу выходные.

Ответить
1
Развернуть ветку
BearStrikesBack

Огонь. Делаейте EDA и отправляйте в Яндекс :)

Кстати, по вашей инфографике можно вычислить +/- ваше расположение :)

Ответить
0
Развернуть ветку
Сергей Крупник

+- расположение первого запроса.
Можно первый запрос сделать с координатами Санкт-Петербурга и узнать, сколько машин там)

Ответить
2
Развернуть ветку
Айрат Натфуллин

А я поддерживаю Ситимобил в этой истории. Хотелось бы, конечно, увидеть, как именно оформил баг Сергей: сказал, что аутентификации нет на точке и всё; или же указал, что выдаются данные, которые можно использовать так-то и так-то.

Просто, если первое, то это немного грязно, хоть и неплохо получилось пропиарить свои скилы :) 

Если говорить о самой проблеме, то бага же не в том, что аутентификации - нет. Если добавить аутентификацию, то вы так же сможете все эти данные получить, просто надо будет передавать сессионный ключ, кукис или что там еще.

В конечном итоге, баги, как минимум, в двух местах:
1. Лимит на запросы, как уже писали в комментах: все эти данные имеют смысл только когда они более или менее полные (фразы про то, что можно узнать долю рынка) и когда их можно обновлять регулярно на большой площади (чтобы отслеживать статистику).
2. Персонализация данных машин: а именно то, что можно связать данные по машине в запросе сейчас с тем, что вернётся через час. Например, по какому-то внутреннему id. Именно это, как я понимаю, позволяло отслеживать маршрут машины.

Если вы посмотрите тот же Lyft, он возвращает номер машины и марку только когда уже есть заказ машины, но не показывает их списком, пока они колесят на карте вокруг тебя.

Интересно, хоть часть соображений и анализа были в отчёте? Или это было "У вас тут точка открыта для показа машин рядом. Как вам? Платите."

Ну и надо отметить, что все мы люди, какие бы проекты большие не были, какие бы крутые команды в них не участвовали - баги возможны. 
Напомню вам случай, когда программист из Казани нашел возможность удалять на youtube любой видеоролик. Кто бы мог подумать, что такое возможно.

Ответить
0
Развернуть ветку
Dmitry Turmyshev

чувак, там была ссылка на отчёт на hackerone, ты все пропустил

Ответить
0
Развернуть ветку
Айрат Натфуллин

Проверял в самой статье и на хабре, поэтому видимо не нашел. Сейчас увидел в комменте от Сити, спасибо.

В самом баге hackerone (https://hackerone.com/reports/756833) не описано то, что описано в статье. Да, без authn. Да, можно получить цвет машины, где тут sensitive data и как это можно использовать (если есть limit rate и нельзя связать id, как я писал в комменте).

Ответить
0
Развернуть ветку
Евгений Шаповалов

Iterating over different city locations you can get the whole information about company fleet

Ну там достаточно явно написано что можно все машины посмотреть. Sensitive это или нет это уже другой вопрос, там нигде не сказано что это настоящие риалтайм-данные, а не просто машинки на карте.

Ответить
0
Развернуть ветку
Илья Петров

Можно ли посмотреть исходники? Выкладывали в открытый доступ?

Ответить
–1
Развернуть ветку
Сергей Крупник

Подробнее про техническую часть написал на Хабре: https://habr.com/ru/post/480956/ Там есть пример curl запроса. Нужно просто его запустить в цикле. Успехов)

Ответить
2
Развернуть ветку
Илья Петров

Ок. Спасибо. Читал с телефона, потому уже дома коммент писал, подзабыл уже про упоминание про пост.

Ответить
–1
Развернуть ветку
Ostrog I

Еще никто не считал сколько зарабатывает Ситимобил?

Ответить
0
Развернуть ветку
Икс Маска

Если (в среднем) 5000 машин ежедневно, а суммарный доход одного водителя в Москве 120тыс./месяц, пусть 33% дохода водителя – это Ситимобил (67% перевозок остальные таксопарки), получается 5000*40000 = 200млн.руб/в месяц фонд ЗП водителей Ситимобил. Если комиссия Ситимобил 10% от стоимости поездки, то доход Ситимобил 20млн.руб в месяц.

Ответить
0
Развернуть ветку
Dmitry Turmyshev

теперь понятно, почему сервис такой дешевый )

Ответить
1
Развернуть ветку
Игорь Филиппов

Я часто на такси езжу, и обычно водители говорят что заработок в месяц 50-70 тыс.

Ответить
0
Развернуть ветку
Bulat Ziganshin

э, есть доход (с котрого берут комиссию, это порядка 25% у ятакси), и дальше с него водитель платит комиссию агрегатору, налоги, тратит на бензин и амортизацию, в рещультате и остаются эти самые 50-70 тыщ

Ответить
1
Развернуть ветку

Комментарий удален

Развернуть ветку
Alexander A. Zhuravkov

Спасибо за статью, познавательно и достаточно кратко. Пишите ещё.

Ответить
0
Развернуть ветку
Сергей Крупник

Спасибо! Рад, что понравилось)

Ответить
0
Развернуть ветку
Pasha Kislova

Открыл сейчас приложение Я. Такси. Машинки двигаются. При желании тоже можно трек отследить. В чем проблема то. ПС. Статью и комменты прочитал. 

Ответить
0
Развернуть ветку