Масштабная трансформация
Сбербанка в прямом эфире
LIVE

Я нашел способ отследить всех водителей «Ситимобила»

В субботу вечером я, как всегда, сидел и снифил трафик со своего телефона. Внезапно, открыв приложение «Ситимобила», я увидел, что запрос на получение информации о ближайших машинах выполняется без какой-либо аутентификации.

В закладки
Слушать

Выполнив этот запрос несколько раз с разными параметрами, я понял, что можно выгружать данные о таксистах практически в реалтайме. Вы только представьте, сколько интересного можно теперь узнать!

С чего все началось?

Да, я действительно сидел и смотрел трафик с телефона. Дело в том, что я инженер и постоянно изучаю, как работают технологии и разные вещи вокруг меня. Так было и в этот раз.

Я нашел уязвимость и написал в Mail.ru Group. Буквально через 3 минуты мне ответили, что эти данные открытые и их не нужно защищать.

Ну раз так, давайте развлекаться!

Анализируем «Ситимобил»

Я написал алгоритм, который за пару десятков секунд собирает информацию о всех таксистах «Ситимобил», которые сейчас на линии в Москве и Московской области. Вот как он работает:

О технических деталях я подробнее говорю в статье на «Хабре», а пока давайте сосредоточимся на результатах.

Думаете, сколько водителей на линии в воскресенье утром?

4374
таксистов «Ситимобил» на линии в Москве в 11:00 в воскресенье

Но разве нас интересует срез? Давайте посмотрим в динамике.

Найс. А как эти водители распределены в пространстве?

Ну и напоследок давайте проследим за каким-нибудь водителем.

Вот, видно маршрут. А ведь можно еще поднять частоту опроса и получить более точные данные.

И что такого?

А то, что данные вроде как важные.

Во-первых, можно оценить долю рынка и доходность компании «Ситимобил».

Во-вторых, на месте другого агрегатора (например, «Яндекс.Такси») я бы использовал данные о положении таксистов конкурентов. Для ценообразования, например. Или вычислил водителей, работающих и там и там, на основе корреляций в геопозициях.

В-третьих, раз можно отследить конкретного таксиста, можно отследить и его клиента. Это уже серьёзно. По факту можно узнать, куда уехал человек на «Ситимобиле», если вы знаете, где он сел в такси.

Заключение

Не нужно недооценивать важность данных, которые показываются клиенту.

Если Mail.ru Group все еще считает, что эту информацию не нужно защищать, то «Яндекс.Такси», вот вам гора данных. С её помощью вы сможете забрать часть прибыли «Ситимобила».

Если же Mail.ru Group признаёт, что данные чувствительные, и закрывает к ним доступ, то будет честно выплатить вознаграждение по bug bounty.

Как, думаете, ещё можно использовать данные о таксистах?

Спасибо, что дочитали! Надеюсь, вам было интересно.
Успехов!

{ "author_name": "Сергей Крупник", "author_type": "self", "tags": [], "comments": 176, "likes": 724, "favorites": 169, "is_advertisement": false, "subsite_label": "transport", "id": 97990, "is_wide": false, "is_ugc": true, "date": "Wed, 18 Dec 2019 17:32:59 +0300", "is_special": false }
(function(w, d, id) { var h = 5000; var a = d.querySelector('#volvo-head'); var b = d.querySelector('[data-content-id="'+id+'"]'); var i = []; if (a && b) { a.style.display = 'block'; startSlideShow(); } var c = 0; var id = 0; function startSlideShow() { i = [].slice.call(a.querySelectorAll('.volvo-head__text span')); nextSlide(); }; function changeSlide() { var p = c; c += 1; if (c >= i.length) { c = 0; } if (i[p]) { i[p].classList.remove('volvo-head__active'); } if (i[c]) { i[c].classList.add('volvo-head__active'); } }; function nextSlide() { id = setTimeout(function() { var a = d.querySelector('#volvo-head'); if (a) { changeSlide(); nextSlide(); } }, h); }; }(window, document, 137185));
Пиар и продвижение бренда отзывами
Приложение для роста рейтингов и улучшения репутации на отзовиках, маркетплейсах
Объявление на vc.ru
0
176 комментариев
Популярные
По порядку
Написать комментарий...

Всем привет. Сергей, ещё раз здравствуйте.  Ситимобил на связи.

Мы внимательно изучили всю ситуацию, описанную Сергеем Крупником. Мы ожидаем, что все детали найденных дефектов, а также любые вопросы касающиеся уязвимостей, будут сначала заданы нам в тикете на HackerOne (https://hackerone.com/reports/756833). В данной ситуации мы не получили всех тех деталей, которые описаны в статье, и очень ждем от автора, что в будущем вместе с ним лично будем обсуждать любые возникающие вопросы. 

Теперь по существу. Отображение доступных машин поблизости без пассажиров — штатная функциональность любого приложения по заказу такси, которую на данный момент нет планов менять. Описанный баг не позволял получить данные водителей Ситимобил с пассажирами и не позволял трэкать их перемешения. В любом случае, у нас есть план технически ограничить получение подобных данных. 

 По условиям программы Bug Bounty мы не можем можем выплатить вознаграждение после открытой публикации уязвимости. Но от команды Ситимобил считаем важным выдать вознаграждение за сообщение об этой возможности и проделанные усилия для её описании. Мы также готовы предложить Крупнику присоединиться к инженерной команде Ситимобил. Ещё мы призываем всех специалистов, кто занимается безопасностью пользовательских данных, сообщать нам о найденных уязвимостях через сайт HackerOne. Ситимобил очень серьёзно относиться к любым найденным уязвимостям и готов сотрдуничать со всеми, кому не безразлична эта тема. Мы также готовы выплачивать достойные вознаграждения за найденные баги в наших продуктах, но в рамках правил площадки HackerOne. 

Ответить
Перейти к комментарию
173

В Рамблере не был сисадмином?

Ответить
57

Ждем иск от Рамблер на долю в Bug Bounty? :)

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
456

Подключаете к автопарку?

Ответить
36

Это пять. Я аж чаем поперхнулся. Тянет на комент месяца )))

Ответить
4

на коммент года!!!)

Ответить
0

Agree! well nailed

Ответить
3

А что там было? 🙄

Ответить
124

 Яндекс.Такси, вот вам гора данных

Спалил тему
Яндекс наверное сейчас вас такими ху**ми поливает 

Ответить
4

Яндекс, разработавший собственные карты и навигатор, не знает о бесплатном Fiddler

Самим не смешно такое писать?)

Ответить
15

Не умеете в иронию?

Ответить
1

А при чем тут фиддлер как таковой?

Ответить
5

Де факто стандарт исследования трафика на пользовательском уровне, которым владеет любой тестировщик стажёр . Если бы Яндекс не имел сложной сети мониторинга конкурентов, он и сам бы смог прочитать трафик в приложении

Автор пытается сорвать покровы на пустом месте

Ответить
3

Как выйгравший 2 багбаунти от Яндекса, могу сказать, что оги много чего не знают

Ответить
1

Войн йнтернета?

Ответить
61

Данные в паблике, отлично! Это же можно применить в мирных целях, есть идея для приложения "Усталый водитель". Берем водителей и чекаем их по интервалу, считаем время от момента, когда водитель вышел на линию и до до тех пор, пока перестанет откликаться большой промежуток времени(отдых). Ставим каждому шкалу от зеленого (только вышел) к красному (более 12 часов на линии)  с пиктограммками от "выспавшийся гепард" до "неспящий зомби". Далее человек ловит такси, запускает приложение, и по позиции вычисляются и показываются сорта водителей вокруг))

Ответить
53

Выспавшийся гепард может быть не таким свежим после пары смен в убере/яндексе

Ответить
3

Это да, тут могу только уповать на жадность водителей, которые держат все виды агрегаторов онлайн. В таком случае приложение будет работать, даже если клиент вызывает убер/яндекс, тогда еще раз говорим спасибо ситимобилу за общую базу)

Ответить
0

"сорта водителей"! Шедевр. Первый рабочий день, уныние, день длинный. Очень длинный. И тут! "Сорта водителей"! Благодарю, товарищ!

Ответить
–156

Всем привет. Сергей, ещё раз здравствуйте.  Ситимобил на связи.

Мы внимательно изучили всю ситуацию, описанную Сергеем Крупником. Мы ожидаем, что все детали найденных дефектов, а также любые вопросы касающиеся уязвимостей, будут сначала заданы нам в тикете на HackerOne (https://hackerone.com/reports/756833). В данной ситуации мы не получили всех тех деталей, которые описаны в статье, и очень ждем от автора, что в будущем вместе с ним лично будем обсуждать любые возникающие вопросы. 

Теперь по существу. Отображение доступных машин поблизости без пассажиров — штатная функциональность любого приложения по заказу такси, которую на данный момент нет планов менять. Описанный баг не позволял получить данные водителей Ситимобил с пассажирами и не позволял трэкать их перемешения. В любом случае, у нас есть план технически ограничить получение подобных данных. 

 По условиям программы Bug Bounty мы не можем можем выплатить вознаграждение после открытой публикации уязвимости. Но от команды Ситимобил считаем важным выдать вознаграждение за сообщение об этой возможности и проделанные усилия для её описании. Мы также готовы предложить Крупнику присоединиться к инженерной команде Ситимобил. Ещё мы призываем всех специалистов, кто занимается безопасностью пользовательских данных, сообщать нам о найденных уязвимостях через сайт HackerOne. Ситимобил очень серьёзно относиться к любым найденным уязвимостям и готов сотрдуничать со всеми, кому не безразлична эта тема. Мы также готовы выплачивать достойные вознаграждения за найденные баги в наших продуктах, но в рамках правил площадки HackerOne. 

Ответить
106

Странно, что вы «не получили всех деталей описанных в статье», в отчете на HackerOne явно видно, что отчёт полностью отражает ситуацию переданную в статье, а под статьей ваше мнение, что это не является уязвимостью «по вашему мнению». Грустно.

Ответить
–1

Поясните пожалуйста, в чем уязвимость если на карте пустые машины без пассажиров?

Ответить
11

Есть ли смысл вам пояснять, если вы сами не в состоянии понять что можно проворачивать имея доступ к таким данным..?

Ответить
16

Я задал простой вопрос. Вы поленились на него ответить, зато не поленились учителя включить. Расскажите какие такие штуки можно проворачивать зная данные о пустых автомобилях?

Ответить
3

Вы пост читали?

Ответить
1

По существу вопроса можете написать?

Ответить
15

Та какие пустые машины??? По вашему водитель чей трек показывали пол Москвы пустым исколесил???

Ответить
–16

Водитель стоит утром в одном месте, в обед поехал стал в другое...они же знают в какие часы где спрос. Потом поехал по своим делам, все сделал и включил приложение и вот он уже в другом районе

Ответить
24

Там чётко виден трек, водитель выполняет заказы... Таксисты не колесят пустыми по Москве несколько часов в поисках заказов, иначе они с голоду умрут при нынешней стоимости заказов... Они сейчас их выполняют нон стопом и данный водитель как раз видно, что выполнил несколько заказов!!!

Ответить
–6

Может быть как я написал, а может быть так как вы написали. Но речь ведь не про это. Речь про то какой вред/пользу это может принести кому-то (пассажиру или Сити/Яндексу)?

Ответить
3

Любой человек имеет доступ к таким данным, тут трудно предсказать последствия... Самое безобидное вдруг у водителя супруга ревнивая или у пассажирки супруг... В любом случае подобное нельзя выкладывать на обозрение всем!!!

Ответить
9

В этом и проблема, что более-менее реальный кейс использования этих данных в практичных целях не даёте, и автор не даёт...но пишите об их опасности. 

По поводу ревнивых жён/мужей или слежения за кем-то :
1) Проще поставить приложение для отслеживания координат и вы будете знать дом в котором находится человек, а не улицу на которой он вышел и неизвестно куда ушел.
2) Открыть почту с ПК и посмотреть маршрут такси по чеку/треку которые высылают на почту (по крайней мере Яндекс)
3) Сервисы такси не самый надежный способ выявить измену/отследить человека, слишком много всяких «если и но». Например, вы вышли с работы из бизнес центра и заказали Сити. Как ваша жена узнаёт в какой вы машине чтобы следить за треком? Наверное возле БЦ больше одной машины Сити....и вот таких всяких условностей вагон, чтобы по такому треку отследить человека..да и сам автор пишет про плюшки конкурентам, а не про вред пассажирам. Хотя плюшек Яндексу я тоже не вижу

Ответить
36

День первый

Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой:  "Я, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!"

...

Ответить
15

Уязвимость реально крутая, т.к:

1) Выяснено, что можно выполнять дохулион запросов в сторону сервиса и нет каких-либо ограничений по запросам с одного и того же ip, а это, соответственно, очень хорошая возможность для качественного DDOS сервиса.

2) Если выполняем п.1, то другие агрегаторы начинают получать больше заказов, а значит - больше прибыли.

Ответить
5

Про реальные кейсы тебе в даркннте расскажут умнег.

Ответить
7

Где такси исчезло там пассажир взят
Так где появилось. Пассажир высажен.

Ответить
1

А номера машин видны ? 

Ответить
4

Давайте я отвечу. Цена предложения коррелирует с количеством доступных машин в потенциальной точке заказа. 

Очень упрощенный пример: Если у Яндекс.Такси 5 машин в точке заказа, то цена могла быть условно 100, но если Яндекс.Такси знает, что у Ситимобил в этой точке 1 машина и цена 200, то Яндекс.Такси может поставить цену 190, его предложение все еще будет лучшим, но маржа вырастет.

Ответить
–2

Вы, видимо, привыкли сидеть в прохладной серверной перед тремя мониторами, и теперь считаете, что все делают так же. Особенно пассажиры такси, которые открывают аналитику по району с динамикой цен на поездки... И когда вдруг цена в одном из сервисов идёт вниз пассажир машет руками, подаёт специальные знаки и кричит Покупаем, покупаем, покупаем... Так и растёт маржа сервиса на колебании курсов. Это мир биг дата. Это мир трёх мониторов.

Ответить
10

В переводе с претенциозного на русский, вы считает что народ не щелкает между приложениями и не сравнивает цены? 

Ответить
8

Я Вам секрет открою, есть приложение которое показывает цену на поездку в разных агрегаторах

Ответить
0

Это приложение не учитывает ни ваши скидки, если они есть, ни персональные предложения. Смотрю цену по одному и тому же маршруту в родном приложении и в сравнивалке - цены разные. И смысл в нем тогда?

Ответить
–2

При чём ладно специализированное приложение
Даже гугл карты это делают

Ответить

Комментарий удален

0

Спам детектед!

Ответить
5

Да нет, не в чем, мы же за открытые данные и прозрачность компаний. Просто гражданин из сити предъявляет претензии к сути содержимого в отчете, но кмк отчёт достоверно передаёт суть статьи, указал больше на лукавство.
А так, если хочет мэил делиться данными - отлично. Наверное теперь нагрузка на инфраструктуру чуть увеличится, начнут энтузиасты эксперименты ставить и фетчить данные в циклах, конкуренты уже оценили, думаю.
Наверное, можно такими запросами узнать планы сити по выходу в новые регионы.
Наверное, можно придумать 1003 способа использования хорошо структурированных данных.
Но, разумеется, такое отношение к данным, - это нормально, не проблема - кому это нужно? Как и ваши перс данные в следующий раз и соответствующее отношение «крупных и ответственных» компаний к этому.

Ответить
43

Head of PR не знает правила тся/ться. Георгий, не благодарите — http://tsya.ru/

Ответить
66

а вот это уже уязвимость посерьёзнее =(

Ответить
44

Спасибо, мы ожидаем, что все детали найденных дефектов, а также любые вопросы касающиеся уязвимостей, будут сначала заданы нам в тикете на HackerOne

Ответить
42

Ребят, вы обосрались. Когда реакция включается после обнародования, а не тет-а-тет, то это факап. И уже не важно официальная ли это позиция или вы не можете надрессировать техподдержку на адекватную реакцию на старте вместо отписок.

Ответить
36

Обосраться это полбеды. Полная беда - это когда обосравшись делаешь вид и упорно доказываешь всем, что ничего не произошло, хотя все окружающие начинают по стойкому штыну догадываться, что все-таки что-то произошло...

Ответить
2

Ага) Тут уже точно по ляжкам течёт, но Остап не подаёт виду.

Ответить
44

Георгий, добрый день! Я нашёл баг в вашем ответе. Тикет создал:
http://tsya.ru/

Ответить
27

Здравствуйте, Георгий!

А не находите ли Вы, что в Вашем ответе противоречие? Как минимум в том, что сначала Вы написали, что это не уязвимость, а следом просите и других инженеров сообщать о багах в вашем сервисе?
Кроме того, автор статьи сразу написал в техническую поддержку, которая также не потрудилась вникнуть в суть проблемы.

В статье по полочкам разложено, что можно выжать из «общедоступной» информации, а Вы, вроде как, это пропустили.

Ответить
19

По условиям программы Bug Bounty мы не можем можем выплатить вознаграждение после открытой публикации уязвимости.

...

В любом случае, у нас есть план технически ограничить получение подобных данных.

...

Мы также готовы выплачивать достойные вознаграждения за найденные баги в наших продуктах, но в рамках правил площадки HackerOne. 

Это что же получается...

Вы открыто признаёте, что планируете ограничить получение этих данных. Но тикет на HackerOne закрыли, сообщив, что это не уязвимость (и таким образом не оставили шансов автору поста заработать, независимо от факта публикации этого поста). И при этом, предлагаете людям и дальше писать вам на HackerOne?

Ответить
9

только в суд как Рамблер не подавайте, и уже хорошо ;)

Ответить
8

"относиться"? 
Пусть тебе компания оплатит курсы по русскому языку. 
Пиздец какой-то 

Ответить
7

не позволял трэкать их перемешения

А вот в этом я не уверен. Множество раз как пользователь пытался вызывать ситимобил, на карте рядом показывалось огромное количество машин, но никто меня не брал. Все не мог понять в чем подвох. Пообщался с водителями - говорят, что на карте отражаются ВСЕ машины: и занятые, и свободные. Не понимаю, зачем их все выводить, наверное, чтобы создать впечатление большого парка и быстрой возможности уехать. Но факт остается - вы даже в интерфейсе выводите не только свободные машины. 

Ответить
6

двойной пробел
перемешения

Ситимобил очень серьёзно относиться

сотрдуничать

Георгий волновался.

Ответить
2

там выше уже тикет создали по этому багу

Ответить
4

Мэйлру снова Мейлру, прямо удивительно, да?

Ответить
6

Похоже, там у них собеседования - это фильтр, чтобы только таких отбирать

Ответить
3

Кому в рамках программы HackerOne mail.ru выплатил деньги или все были недостойны?

Ответить
2

А от закрытой, вы закроете как дубликат :) Я вас знаю. Больше репортить не буду. Даже спасибо не скажете. Скажите честно бюджета на это нет. Нас имеют за такие ошибки, они влияют на КПИ или еще на что-то. Можно же без политоты. Получили оф ответ, так как эта история стала известна и у вас подгорает 5 точка.

Ответить
0

Мне этот случай напомнил историю с Pokemon Go, та же уязвимость можно было отследить и поймать всех покемонов. Niantic не говорили, что это не проблема и api работает как должно.

Ответить
0

компания тратит столько денег на доставучую рекламу, а когда появился повод поговорить реально в паблике решили дать скучную отписку. пиарщикам памятник!

Ответить
48

«Буквально через 3 минуты мне ответили, что эти данные открытые и их не нужно защищать».

Вот сейчас кому-то люлей влетит...

Ответить
18

«Это не баг, а фича»

Ответить
1

Мне кажется, что пока уязвимости с багбаунти прилетают самим разработчикам, а не отдельным людям, такая херабора и будет твориться дальше.

Ответить
3

А за что влетит, у них это публичный REST, он ответил все верно.

Ответить
27

Красавчик! 👍

Ответить
17

Спасибо!

Ответить
0

Здравствуйте, Сергей! Куда можно вам написать? 

Ответить
3

Зачем?

Ответить
82

Вопросы тут задаёт Виталик. А ты бы на всякий случай упал-отжался.

Ответить
4

Сначала нужно в ударении определиться.

Ответить
1

А в три клика на профиль пользователя не умеете? 🤔

Ответить
6

В три клика тут можно только узнать, что, возможно, вы воспользовались недействительной ссылкой или страница была удалена.

Ответить
4

После этих трех кликов нужно скопировать имя и вставить в поиске Facebook и вжух
 https://m.facebook.com/profile.php?id=100011663379788

Магия. 

Ответить
1

Не, нет так. Красаучик, брат!

Ответить
0

Жи есть!

Ответить
26

Участвовал в bug bounty от Badoo, нашел способ авторизоваться под учетными записями новых (и не очень) пользователей. Оформил отчет, сказали не баг. Больше не участвую.

Ответить
2

Баг то пофиксили потом?

Ответить
1

Вероятнее всего да, но баг этот нашел не я один и на хабре есть статьи как его воспроизвести. Сейчас вроде не работает, особо не проверял.

Ответить
1

Что бы сделали в сша после такого?

Ответить
0

Не знаю, какие варианты?

Ответить
0

Полагаю, общественное осуждение после разборок на реддитах

Ответить
23

Я когда подобные материалы читаю, то появляется ощущение, что я часть тупиковой ветви эволюции. :(

Ответить
18

Mail.ru ни что особо не беспокоит. Ни важные данные, ни качество сервиса. Сам же Ситимобил скатился в г после поглощения. 

Ответить
5

Поглотить ресурсов хватает, а управлять и развивать - нет.  Да и задачи такой нет. 

Ответить
5

Не знаю, что было до, но сейчас Ситимобил пришел ко мне в город и да, кроме цены плюсов нет. После Яндекса стрёмненько: чата нет; карта глюченая, точку хер поставишь без какой-то матери; опции "не звонить" нет; техподдержка отвечает часов через пять вместо пяти минут у Яши. Ну можно долго продолжать.

Ответить
8

Вы очень крутой. Чем еще занимаетесь?

Ответить
27

Спасибо! Проекты разные делаю. Скоро будет материал про проект, который я делал последние несколько месяцев.

Ответить
14

Комментарий удален по просьбе пользователя

Ответить
1

Подписался)

Ответить
2

Спасибо! Проект стоит того)

Ответить
2

Автор, можно поконкретнее примеры как эти данные помогут конкурентам забрать часть прибыли Ситимобил? А то складывается ощущение, что вы получили данные и вам кажется что это нечто ценное, а мне кажется что это вода - просто любопытство удовлетворить без какой-либо практической пользы конкурентам.

Вот знает Яндекс где/сколько катают Ситимобилы, а дальше что? Сделать рассылку этим водилам мол вот есть сервис Яндекс.Такси? Думаете они про него не знают? Думаете Яндекс в паре районов работает, а сейчас посмотрит карту движения Ситимобилов и начнёт по другим районам ездить? А местоположение водителей что даст? Это же не стационарные точки...водители там где пассажиры и если в каком-то районе мало водителей Ситимобила, то наверное там глухняк.

Почему вы считаете эти данные багом? Если там личные данные пассажиров есть  - однозначно баг. А если просто данные по машинам, то наоборот открытость и прозрачность - нечего скрывать.

Ответить
14

По вашему, автор должен сразу сделать работу маркетологов и аналитиков?
Берите больше:
Он должен все это ещё упаковать в понятную презентацию и расписать бизнес-план по внедрению, чтобы те, кому это нужно, могли просто ответить «да, годится»

Ответить
0

Зря минусуете ребята, у карширингов эти эндпойнты для незанятых машин тоже открыты. На них работают агрегаторы к примеру.

Ответить
7

так какого черта, если их так много, машины в о о б щ е не приезжают?))))

Ответить
14

Они ж там жирные заказы все сидят ждут как мыши. 

Ответить
0

В Ситимобиле не бывает жирных заказов))) там либо терпимо, либо вообще капец)))

Ответить
1

Потому что они все работают по Яндексу в то же время.

Ответить
2

То есть когда мы видим, как пустые машины шатаются по городу - мы видим маршруты яндекса? ))))

Ответить
0

Если это машины Сити, то в основном да.

Ответить
0

Вопреки словам представителей Ситимобил, на картах отображаются как свободные водители, так и принявшие заказ

Ответить
6

Эти данные открыты и у каршерингов и секрета с сенсацией тут нет. Каршеринг, который завтра закроет эти данные, скорее начнет проигрывать на рынке, потому что исчезнет из агрегаторов.

Точно такой же отчет и такие же картинки можно построить по положению незанятых машин каршерингов, а потом и маршруты по их перемещению между заказами.

Так что это точно часть открытого функционала, о которой Георгий Лобушкин тут и написал.

Рисков для пользователей сервиса нет, а польза для рынка есть.

Ответить
5

Теоретическиц риск есть для таксиста - тебе водитель не поноавился, ты сразу такой траффик снифать, потом вычисляешь его место по id, даешь пизды. 

Или жена траффик посниффала, потом смотрит где ее муж без пассажира по часу стоит, приехала, застукала с любовницей. 

Нужно убирать id, вводить что-то другое, или вообще не выводить его. Хотя хз что у них в  id - мож там уже такое продуманно, какой-то хитровыдуманный хэш с постоянным обновлением. 

А может и хер с ним - нефиг пассажиров злить да по любовницам шляться. 

А так - согласен с вами. 

Ответить
7

длинные ночные маршруты на юг ДС это за закладками

Ответить
3

Статья - идеальная демонстрация технических (и кое-каких других) навыков для резюме) Очень круто!!

Ответить
7

для резюме пен-тестера?

интересно, схантят ли меня здесь если я напишу статью об использовании FFT для быстрого вычисления кодов Рида-Соломона? LOL

Ответить
1

Визуализация данных, дата саентизм, вот это все. Умеете писать статьи, опять же))) Всё бизнесовые штуки. 

Ответить
2

вот-вот. на самом деле ни то и ни другое. думаю, аналогичный эффект и у этой статьи

Ответить
1

Это хороший первый этап. Резюме рассмотрят.

Ответить
4

Сергей, думаю Вас быстро-быстро схантят сейчас)

Ответить
5

А, уже! 
Тогда дам совет, прежде, чем принимать предложение соберите все! 

Ответить
1

Сергей, а каким сниффером пользовался?
Чот проблема в последнее время https запросы посмотреть нормально

Ответить
13

mitmproxy - подробнее про техническую часть написал на Хабре: https://habr.com/ru/post/480956/

Ответить
–3

Сергей, спасибо за вашу статью. Было крайне интересно прочитать. Аж дважды (здесь и на хабре). Понимаю, что к самой проблеме (багбаунти программ,открытых данных, и способах эти данные защитить) мой комментарий не относится, но все же, не могли бы вы более подробно объяснить техническую часть. Тоже, порой, интересует как что устроенно, но соображалка не всегда работает в нужном направлении. Проблема с парсом https пакетов с андроид устройств из приложений. Ведь начиная с Андроид устройств версии 8.0+, насколько я понимаю, трюк с подменой сертификата на устройстве не работает, если явно не указать в манифесте самого приложения, что таким сертификатам можно доверять (Статья для примера https://android-developers.googleblog.com/2016/07/changes-to-trusted-certificate.html) Если вы расскажете, хотя бы вкратце, как вы обходите данное ограничение, буду очень признателен
P.S. Интересуюсь,если что, только в научных целях.

Ответить
3

Смотрел трафик с айфона)

Ответить
0

Понял, спасибо за ваш ответ, попробую с айфона)

Ответить
1

Апк можно перепаковать и переподписать, при этом изменив манифест - в инете есть мануалы. 

Но проще - запустить на эмуляторе со старым Android, где подобного ограничения не было (только такое поведение не с 8ой, а вроде с 7ой версии, то есть запусеать надо с 6ой)

Некоторые аппы вообще юзают встроеннные в них сертификаты, недоверяя никому (сам не встречал, но на собеседовании в одном банке про такое говорили). В принципе, в перпакованном аппе и сертификат можно изменить, если там нет каких-то сложных проверок самого сертификата. 

По сабжу - не вижу тут ничего критичного - инфа реально не sensitive. Возможно, стоит убрать id водителя (если есть), чтоб исключить возможность построения маршрута. 

Защититься тут можно, и рейт лимитом и кучей других способов. Но это все - защита от дурака, если знающий человек задастся целью спарсить - то он спарсит - и через лист проксей прогонит, и апп декомпильнет чтоб разобрасться как защита работает.

По всей видимости ребята решили просто не заморачиваться, их право. 

Ответить
4

wireshark на все времена

Ответить
0

WireShark ФОРЕВА

Charle's Proxy тоже кул

Ответить
2

Charles.

Ответить
–1

Charles платный

Ответить
20

Разве в вопросе было «бесплатный»?

Ответить
0

Никаких проблем. Не а если вы ssl pinning не смогли - то вам значить это и не нужно.

Ответить
0

Скорее всего не было certificate pinning - это на 2019 почти клинический случай, можно синффить с помощью первого попавшегося в гугл плее сниффера без рута. 
Кстати, если пользуетесь приложением без cert pinning, выключайте ваши бесплатные впн на время использования. Это для вас они бесплатные, а вас продадут за деньги, это и поможет окупить им расходы на впн сервера и гелик для сео.

Ответить
5

Пытливый ум всегда находка! Интересно

Ответить
4

Комментарий удален по просьбе пользователя

Ответить
2

Спасибо! Рад, что понравилось)

Ответить
4

Яндекс наверняка уже давно знает об этом и активно пользуется

Ответить
4

Автор молодец! Ничего не понял, но вижу сколько людей благодарят, поэтому присоединяюсь!!!

Ответить
2

Кайф, спасибо за статью!

Ответить
3

Спасибо! Рад, что понравилось)

Ответить
2

"А то, что данные вроде как важные." - Самых активных нужно отлавливать и отбирать ВУ.

Ответить
1

Разве после принятия заказа машина не исчезает с радаров?

Ответить
1

с радара клиентского приложения — да. она же не растворяется в эфире совсем

Ответить
1

Ну эту часть уж точно должны закрыть

Ответить
–1

Автор , предлагаю связаться . Есть ценное предложение . 

Ответить
0

Очень круто, особенно понравилось поездки клиентов! 👏

Ответить
3

Спасибо!

Ответить
1

Автор молодец.  
Правда, в мэйл ру могут передумать  и тогда ..., что то я сомневаюсь в их желании что-то выплатить. 

Ответить
1

Класс предлагать попутный груз можно. Целый бизнес

Ответить
1

Нашел баг интергация рекламы mail.ru в вк. Можно было узнать какая реклама покажется любому пользователю вк. У друга болел зуб, с моего компьютера мне предлагают лечить зубы и купить снасти для рыбалки. День рождения сестры, мне предлагают купить суши и сделать ремонт в квартире, она делала ремонт.
Вот правильно сделал, снял и дал оффлайн ссылку на youtube этого видео.
Зарепортил баг как security issue.
Баг исправили, никаких $$$ не принесло, даже спасибо НЕ сказали.

Реклама: Можно узнать рекламные предпочтения любого пользователя 

Известно ли решение по данному багу? Будут фиксить?
06.09.18 20:54

> Новый статус отчёта – Закрыт

> В песочнице баллы не начисляются.

> 21.01.19 16:43

спасибо, что исправили)
22.01.19 14:18

"Быдло сервис какой-то", имхо.

Ответить
1

Ответ саппорта лучше всего описывает политику компании.)

Ответить
1

В субботу вечером я, как всегда, сидел и снифил трафик со своего телефона.

Значит я как-то не так провожу выходные.

Ответить
0

Огонь. Делаейте EDA и отправляйте в Яндекс :)

Кстати, по вашей инфографике можно вычислить +/- ваше расположение :)

Ответить