Пользователь
0,0
рейтинг
5 июня 2015 в 11:18

Разработка → Расследование одного взлома или как быстро и просто потратить миллиард

UPDATE: Всем привет! Сегодня с удивлением узнал от коллег об этой записи. Выяснилось, что мой аккаунт взломали — представители Хабрахабра это подтвердили и восстановили мне доступ и сейчас разбираются, как так получилось. Но я оставляю эту запись как есть, для истории.
В комментариях уже отметились представители Яндекса: говорят, что уязвимость закрыта, ведётся аудит безопасности софта.

И, пользуясь случаем, хочу напомнить, что у нас в Badoo уже несколько лет идет программа "Проверь Badoo на прочность" и мы платим за найденные уязвимости.


Все вокруг постоянно рассуждают о коррупции. А я хочу рассказать Вам о случае, на коррупцию очень похожем, но в среде чистого IT-бизнеса, на государство никак не завязанного.

Описываемый далее случай интересен именно с точки зрения взлома бизнеса, хотя статья больше посвящена взлому в смысле IT.

Начну с нетехнической части.

Мой друг-одноклассник работает в сфере бизнеса московского такси. Работает в этом бизнесе довольно много лет. Несколько лет назад, когда на рынок московского такси вошел крупный игрок (а теперь — монополист) — Яндекс, то мой друг, разумеется (как и все прочие мелкие и крупные игроки этого бизнеса) также присоединился к заказам Яндекс-Такси.

Уже несколько лет он работает в Яндекс.Такси с использованием ПО ООО РОСИНФОТЕХ.

Где-то с полгода назад Яндекс приобрел эту компанию и теперь это ПО называется Яндекс.Таксометр или вроде того.

Что представляет собой это ПО: это комплект по управлению водителями (можно добавить/удалить машину/водителя), а так же принять/отменить проследить заказ.

Так вот, обещал я, что начну с нетехнической части. Этот мой друг уже несколько лет жалуется мне при личных встречах на извечную русскую проблему: «воруют».

Рассказывает что воруют водителей, заказы и даже, по слухам, деньги с QIWI-кошельков…

Я относился к этому как-то философски. Ну, жалуется человек на жизнь. Ушел водитель (увели) от него в другую компанию, а он считает что его украли — обычная история. Но на этих выходных таки он меня упросил: «Иван, ну да, ты (как ты говоришь) не специалист по безопасности, но посмотри, как могут у меня воровать водителей? Ты же IT-шник, в конце концов!».

Мы сели с ним в кафешке с WiFi и стали смотреть.

Закончу нетехническую вводную я тем, что скажу что, по слухам, среди компаний, работающих с Яндекс-Такси, которые идут в том числе и от самого Росинфотех, Яндекс приобрел вышеуказанное ПО за миллиард.

Запомните эту цифру, она понадобится нам в конце статьи.

Итак, вступление окончилось, перейдем к технической части.

Дал он мне логин/пароль от его личного кабинета в диспетчерской, и я туда зашел.

Там все несложно: список водителей: добавить/удалить/заблокировать/распечатать. Отчеты, заказы и т.п. Полазив чуток по страничкам, обратил внимание, что практически весь сайт построен на том, что в ссылках или запросах фигурируют UUID.

Кликнув на водителя, можно увидеть, что UUID водителя фигурирует в ссылке информации о нем.

Далее стало интересно выяснить три вопроса:

  • можно ли узнать UUID водителя чужой компании
  • можно ли, зная этот UUID, получить информацию о чужом водителе (собственно то, на что жаловался мой друг)
  • можно ли получить доступ к заказам водителей других компаний


Походив по страничкам личного кабинета, я обратил внимание, что UUID присвоен и компаниям тоже.

«Ага!»- подумал я и стал спрашивать моего друга, знает ли он, что такое UUID, и применял ли где-нибудь его. Он говорит: «Да, в личном кабинете Яндекса я указывал урл на API». «Давай сюда, — говорю, — этот урл». Дает он мне нечто вроде такого sync.yandex.taxi.itrf.ru/drivers/<UUID>. Заглядываем в этот урл и видим — все водители компании моего друга в удобном для парсинга виде — XML. Без авторизации.

Осталось узнать UUID других компаний. Как это сделать? Как я уже сказал выше, в некоторых местах сайта банальный Ctrl-U в браузере показывает UUID других компаний, однако мне стало интересно получить UUID адреса ВСЕХ компаний, использующих это ПО. Мы где-то с полчасика покопались по урлам, используя Ctrl-U, и нашли сразу множество путей, как это сделать.

Например, вот такой красивый JSON сообщает нам подобный список:

Список компаний в JSON

Обратите внимание, что список затрагивает сразу все регионы страны, не только Москву.

Ну или подобные списки встречаются в различных селектах, списках итп. Таких мест множество. Однако, продолжим далее.

Стало интересно вернуться к карточкам водителей и рассмотреть их поближе. Для этого мы выбрали одну из Московских компаний — взяли XML со всеми ее водителями (которая, как описано выше, доступна без авторизации) и продолжили эксперименты над ней.

Кусочек XML с выгрузкой водителей одного из крупных партнеров Яндекса

Взяли пару водителей из этого XML, ввели их UUID в карточке в личном кабинете. Посмотрели карточку водителя. Рейтинги, когда сдавал экзамены такси, номера прав итп — все видно. Информация о любом водителе (в том числе чужих) доступна по урлу с UUID.

Это как бы расширенная информация (больше, чем вышеприведенном XML).

Вероятно, разработчики этого ПО о понятиях «авторизация», «аутентификация» не слышали, а уж и тем паче о разнице между ними.

Там же, сидя в кафе я набросал скриптик на Python, и через 20 минут у нас была база данных всех водителей Яндекс.Такси во всех городах (не только в Москве) с их телефонами, рейтингами, номерами прав, лицензий, балансами счета и прочей приватной информацией.

Получили вот примерно такой XLS файлик:

Выгрузка водителей

Так я получил вещественное доказательство более чем двухлетним подозрениям моего друга о воровстве водителей.

Дальше стало интересно посмотреть несколько шире на эту проблему: доступность этих UUID без авторизации вообще. Оказалось, и это есть!

Это ПО предлагает довольно широкий спектр сопутствующих услуг. Например, вебформу заказа такси на сайте компании-клиента.

Заглянув (Ctrl-U) на несколько сайтов-партнеров Яндекс-такси, как Вы думаете, что я там обнаружил? Правильно! UUID этих компаний, по которым (напомню) можно бесплатно доставать всех водителей.

Таким образом, не исключаю, что какой-либо поисковик (в т.ч. Яндекса) однажды проиндексирует все эти приватные данные компаний и людей.

Затем мы заглянули на еще один ресурс без авторизации этой компании. В публичном доступе находится в реальном времени лог всех заказов в Яндекс-такси. Можно посмотреть, кому назначен, что с ним происходит, кто выполняет, адрес подачи итп.

Лог заказов

Нажимая Ctrl-U на этой странице, мы видим ID заказа, компанию которой он назначен.

Вот мы и докопались до ID заказов других компаний на неавторизованной странице (на авторизованных они тоже есть, но повторюсь: было интересно найти на неавторизованной).

Далее, используя инструменты, доступные в разных частях личного кабинета, мы можем не просто наблюдать, но и воздействовать на процесс: например, можно чужой компании изобразить отмену заказа, а самому послать машину вместо нее!

Для водителя это будет выглядеть, как отмена заказа. Для клиента — как «приехала другая машина».

Это просто клондайк какой-то для человека, настроенного на нечестные способы ведения бизнеса!

но мы не такие
Отсюда и статья :)


Самое интересное, что это не просто какая-то одна дырка, а все ПО целиком такое, весь сервис построен на том, что НИКАКОЙ защиты информации нет. Продукт представляет собой просто этакий просмотрщик записей в БД без какой-либо защиты между пользователями.

Представьте, залогинившись в гугл Вы бы могли посмотреть всю почту ВСЕХ пользователей Гугл. Вот тут примерно такой случай.

Однако продолжим. Комплекс содержит еще приложение для андроида. Взяв приложение «Таксометр» с андроид маркета мы быстро выяснили, что оно делает запросы по неавторизованным урлам. И первый неавторизованный http-запрос, который делает это приложение, — угадайте, какой?

Правильно, полный список пар UUID-название компаний!

Используя урлы, взятые из этого приложения, можно:

  • брать/отменять заказы от имени других водителей,
  • писать широковещательные и адресные сообщения (например, предложения о работе) другим водителям,

и так далее.

Здесь я получил еще одно подтверждение, что не только водителей можно воровать, но и заказы у этих водителей.

Рассказывают, что ушлые люди уже даже выпустили на эту тему специальное приложение по перехвату заказов Яндекс.Такси. Жаль, на андроид маркет только не выложили (или выложили? Надо бы посмотреть в платных разделах маркета).

Ну а теперь давайте немного поразмышляем на тему, о которой я писал вначале.

Коррупция или не коррупция.

Да, Яндекс — частная фирма. Слово «коррупция» к нему не применимо. Однако возникает интересный вопрос: вот Яндекс покупает за огромные деньги (миллиард) программный комплекс. При этом, судя по вышеприведенной картинке, НИКАКОГО технического аудита этого программного комплекса не произведено.

То, что нашел я (рядовой IT-шник) за пару часов копаний в кафе, специалист по безопасности нашел бы без особого труда, но вопрос: почему этот специалист (коих у Яндекса вдоволь) даже не заглянул в этот комплекс за миллиард?

Как Вы думаете, этот комплекс куплен с использованием системы «откатов», или нет?

Мне кажется, что, проводя сделку за миллиард, не выделить 10 тыс руб на один рабочий день специалиста для проведения аудита это… гхм… или сознательная халатность, или совсем уж хочется побыстрее от миллиарда избавиться.

Объяснение, что это куплено с использованием отката, — по моему, наиболее логичное.

Интересный вопрос: кто в Яндексе принимал решение о покупке такой «большой дыры»? Вероятно, с него должны начать выяснение обстоятельств покупки СБ Яндекса.



PS: После того, как мы поразглядывали Таксометр с андроид-маркета, мы заглянули еще и в устройство приложения для заказа такси с того же маркета — Яндекс.Такси. Что удручает — ситуация там очень похожая. Его явно делали люди, далекие не только от вопросов безопасности, но и от вопросов HighLoad программирования.

Впрочем, это совсем другая история, о ней можно написать отдельную статью.

PPS: Недавно Яндекс.Такси внедрило оплату поездок кредитными карточками. Мне вот лично как-то страшно теперь платить за поездку кредиткой. А вам?




UPD: Яндекс уведомлен о проблеме, так что здесь предлагаю обсудить способ взлома бизнеса Яндекс.Такси примененный товарищами из вышеупомянутой компании. Можно только выражать восхищение бизнес-способностям этих людей. Согласитесь, развести крупнейшую компанию рунета на такие деньги без какой-либо проверки качества впариваемого кода — это вам не старушкам пылесосы продавать…
Ivan Petrov @lamamer
карма
39,2
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (104)

  • +1
    А уязвимость с QIWI кошельками вы не нашли?
    И ещё непонятен вопрос: какой смысл водителям работать с компаниями, почему не подключаться напрямую к Яндексу?
    • +2
      работа с QIWI там сделана по тому же принципу что и все остальное.
      уверен что QIWI тоже можно использовать чужой
    • +1
      яндекс не подключает ИП
  • +12
    Как мне кажется, цена главным образом складывается не из стоимости софта, а из стоимости базы клиентов, бренда. Софт яндекс сам может написать какой надо. Или переписать потихоньку. А базу клиентов и бренд «написать» нельзя, её можно только нарабатывать годами или купить.
    • +13
      Софт яндекс сам может написать какой надо. Или переписать потихоньку.

      В любом случае оставлять работать то, что есть — это позор. Уж за 4,5 месяца после покупки могли бы сделать аудит и прикрутить авторизацию.
    • –8
      Я почти уверен, что весь софт они переписывают. Аудит как раз провели и ах.., но база клиентов была важнее. Вот почему за пол года не исправили ситуацию — другой вопрос. Впрочем, ходят слухи, что у яндекса сейчас не все гладко и проблем хватает. Надеюсь, это только слухи, а ПО до ума доведут, ведь перед ними непростая задача: оставить удобство для водителей, которые уже пользуются услугой, повысить безопасность, но и не поломать старый функционал (легальный старый функционал).

      UUID адреса ВСЕХ компаний

      И что? То, что гугл знает адреса сайтов всех компаний вас тоже пугает? UUID, название и город — не является приватной информацией. Даже список водителей может не являться таковой. Да даже номера (приложение вроде как показывает номер машины, которая к вам приедет). Финансы — другой вопрос, точнее даже не вопрос, это не стоит показывать. Вот что действительно печально — возможность совершать какие-то действия с «чужими» водителями и заказами. А что касается «переманить к себе» — через ту же почту можно.
      • +27
        > И что?

        в общем-то ничего: вставляя UUID в урл мы получаем доступ ко всем водителям/компаниям/приватным данным.
        UUID публично доступны и доступ свободный. фигня в общем.

        • –9
          Повторюсь. Есть приватные данные (финансы, какие-либо отчеты), есть публичные. Список компаний — публичные, что, в общем то, логично. Список водителей у компании — публичный (я, как пользователь, должен иметь возможность проверить — приехавший водитель действительно ли является водителем этой компании). Номер машины водителя — по тем же причинам публичный. Количество денег у водителя — приватные данные.

          Да, эти списки должны быть доступны только на чтение, я, не будучи авторизованным как уполномоченное лицо этой компании, не должен иметь возможность отменять заказы, однако id в ВК такие же публичные и что-то это ни у кого не вызывает сомнений.
          • +6
            Для проверки, относится ли водитель к компании, не требуется получение списка всех водителей в этой компании.
          • +8
            1) если компания присылает тебе такси, тебе надо знать имя водилы? ты думаешь, они пришлют не своего работника? ты спрашиваешь паспорт у водилы, чтобы убедиться, что этот тот самый водила?
            тебе просто говорят цвет, марку и номер машины.

            2) «однако» ты подменяешь, что «должно быть сделано здесь» тем, что «сделано там»

            В софте дыра. Нет, не так. В софте ДЫРЕНЬ! И здесь это деньги и ресурсы.

            из «Хищника»:
            — … и вот она раздвинула ноги. Я и говорю «Ну и дыра!.. ну и дыра..». Она мне «А чего ты всё по 2 раза повторяешь?» Я: «Это эхо..»
            • +3
              Будучи в отдаленном подмосковье, сажая вечером девушку на такси, я поинтересуюсь именем водителя. Впрочем, номера автомобиля обычно достаточно, тем не менее. Со списком всех водителей данной компании я погорячился, вряд ли это публичная информация, которая имеет смысл для обывателей.
              • +1
                Даже и в Москве лучше сфотографировать номер машины. Никто из водителей ещё не протестовал, когда я так делал.
            • 0
              В штатах за водителем располагается тачпад с полной информацией о водителе!
            • +1
              Убер присылает фио водителя и фотографию.
              UUID сами по себе не приватная информация.
              Плохо то, что действия с этими UUID не защищены авторизацией или цифровой подписью.
          • +2
            А что Вы скажете про номер водительского удостоверения? Мы тут недавно наткнулись на подобный «функционал», по которому можно вытянуть паспортные данные определенной категории лиц (говорить что за категория и как мы это сделали не буду, ибо ответа от разработчиков еще не получили и «функционал» еще не пофиксили).
  • +12
    > Повторюсь. Есть приватные данные (финансы, какие-либо отчеты), есть публичные. Список компаний — публичные,

    список компаний работающих с Яндекс-Такси — есть приватные данные компании Яндекс-Такси.

    список водителей, работающих с компанией «XXX» — есть приватные данные компании XXX и так далее.

    а здесь еще без авторизации доступны такие вещи как: номера документов водителей, фотографии, оценки, балансы счетов итп
    • –6
      а здесь еще без авторизации доступны такие вещи как: номера документов водителей, фотографии, оценки, балансы счетов итп


      Это, разумеется, большой огрех и бреш в безопасности. Такие данные не должны быть доступны. Тут спора нет.

      список компаний работающих с Яндекс-Такси — есть приватные данные компании Яндекс-Такси.

      Которые яндекс любезно предоставляет при выборе кого подать.

      список водителей, работающих с компанией «XXX» — есть приватные данные компании XXX и так далее.

      Компании такси у нас КГБ что-ли? Можно придумать ситуации, при которых мне, как пользователю, этот список будет полезным. Да и не думаю, что информацию о сотрудниках так сложно получить. Но, допустим, это действительно может быть приватными данными. Как следствие — возвращаемся к тому, что проблема заключается в том, что нет разделения на «приватные-публичные данные», доступ к которым вправе выбирать (или они зашиты жестко) в системе (и сопутствующая — есть свободный доступ к этим данным), а не просто список UUID сам по себе.
      • +9
        Это не огрех, а преступление. За разглашение личных данных можно и получить.
        А если доступны заказы с номерами телефонов заказчиков, то тут уже вступает в силу уголовный кодекс.
  • +5
    > Да, Яндекс — частная фирма. Слово «коррупция» к нему не применимо.

    Ну почему же не применимо? Коррупция — это использование служебного положения в личных целях. Пишется короче и звучит устрашающе (две буквы «р» в одном определении и ни одной в другом).

    Другое дело, что для страны власть вроде как является исполнителем воли народа и её действия регламентированы законом (это как должно быть в идеале при отсутствии коррупции). В частной/акционерной же компании все на откупе у владельцев компании. Если сотрудник своим действием/бездействием работает на благо себе, а не владельцам — он по сути своей коррупционер.
  • +26
    неделю назад, на PHD V представитель яндекса выступала с докладом на тему «вопросы ИБ в M&A», где она рассказывала как яндекс управляет ИБ-рисками при покупке компаний и готовых продуктов.
    призабавненько, слова словами, а на деле то, что имеем в статье.
    • +1
      Тоже на это внимание обратил
  • +3
    Яндекс уведомлен о проблеме

    То есть вся эта дыра ещё открыта? Не очень понятно из текста поста.

    Кстати, ответ Яндекса процитировать можно? Как бы это не оказалась стандартная отписка девочки из саппорта «ваше пожелания переданы разработчикам, мы с вами свяжемся если что».
    • +22
      Ну теперь то они точно уведомлены. :) Можно не беспокоиться.
  • +1
    Спасибо, интересная статья и толковое исследование.
    Единственное что я могу сказать «С глупостью сами Боги бороться бессильны», может быть не стоит искать коррупцию там где достаточно банальной некомпетентности.
    Решение о покупке принимали бизнес люди и решающим фактором была база клиентов. Про дыры в безопасности подумать у них банально могло не хватит знаний.
    Я не оправдываю, просто хочу сказать что причины крушения иногда проще см рассказ Чехова «Злоумышленник».
  • +1
    А я-то думал, что среди крупных сервисов подобное давно уже не уходит в релиз…
    • +6
      Возможно тут принцип: работает не трогай. Но теперь то да, либо они это пофиксят, либо сейчас все будут красть данные. К слову статья мягко говоря вредительная. Яндекс еще ничего не исправил, а статья есть. Если раньше мало кто знал, то сейчас любой школьник может получить базы и продавать их кому нибудь менее осведомленному.
      • +3
        Убеждён, что если уж по какой-то (неадекватной) причине решил не продавать на чёрном рынке, то так и надо делать.

        Мало случаев было, когда на багрепорт компания отвечала угрозами?

      • +9
        К слову статья мягко говоря вредительная. Яндекс еще ничего не исправил, а статья есть.

        Вредительские — действия Яндекса: пускать сервис с такой дырищей.
        Статья правильная, теперь Яндекс начнёт шевелиться быстрей и быстрей закроет эту уязвимость.
        А пользовались ей и раньше, безо всякой статьи.
  • +2
    Интересно, прокомментирует ли Яндекс
  • +5
    Яндекс уведомлен о проблеме
    А можно номер тикета или что–нибудь, что б я мог понять, как прошло уведомление?
    • +16
      номера тикета увы не знаю. support@ видимо знает.

      Предвосхищая вопросы
      Мы думали с другом: опубликовать статью или же написать еще раз в Яндекс.
      Он говорит что о воровстве писал/обращался в техподдержку неоднократно (и я знаю что это так, поскольку жаловался он мне на это воровство несколько лет) и что номера тикетов его обращениям присваивали. Всегда кончалось ничем. Яндекс не предпринимал никаких действий.

      поэтому решили вынести все на публику, чтобы проблему с воровством водителей и заказов решить.
      • –7
        Это всё как-то не очень м… красиво/этично.

        Плюс сейчас может статься, что воровство примет ещё большие масштабы. Дырка же утекла в паблик.
        • +5
          Не этично по отношению к кому? Любят люди все переворачивать. Неужели не видно кто плохой, а кто хороший? Убытки компаний этичностью не возместить.
          • 0
            Хороший, плохой, злой… Наш мiр далеко не чёрно-белый.

            По отношению к разработчикам и другим пользователям.
            В паблик такие штуки, мне кажется, сливаются когда или разработчики не реагируют на багрепорт, или с корыстной целью.

            Не возместить. Но вполне можно сделать ещё хуже неэтичностью.
            • +1
              Если бы в статье описывалась какая-то уязвимость, то тут я с вами бы полностью согласился. Но то, что описано в статье — выходит за рамки.
              • +1
                А разве статья не про нахождение и эксплуатацию уязвимости, позволившей получить несанкционированный доступ к ПД и другой коммерческой информации?
                • +4
                  Нет. Это данные практически в открытом доступе. Т.е. незащищенные совсем.
                  legal.yandex.ru/confidential
                  К примеру берем пункт. Который мне кажется нарушен.

                  6.1. Яндекс принимает необходимые и достаточные организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.
                  • 0
                    С пунктом 6.1 я и не спорил.

                    То, что дверь в квартиру забыли закрыть ещё не значит, что квартира в свободном доступе для всех желающих.

                    Да, Яндекс взял на себя обязанности держать данные в сохранности, да не получилось.
                    Я говорю лишь о том, что эти самые трети лица получили несанкционированный доступ к этой информации и совершили с ней акты копирования, распространения, а также иные неправомерные действия.
                    И это есть уязвимость сервиса.
                    • +4
                      Любите аналогии? С открытой квартирой не подходит к этому. Ну вообще, если выйти из сказки, как раз это и значит, что для всех очень желающих она в открытом доступе. Да и в случае с квартирой, оставили открытой — ваши проблемы… пострадаете только вы. И кстати… После покупки квартиры (тут покупка сервиса) я первым делом сменю замок… а если и надо, то дверь.
                      Это наверно как поставить камеры в женской душевой фитнессцентра, а в бесплатном вайфае этого же центра стримить эти камеры на айпишнике 192.168.1.3 с вебмордой. Ну или поставить зеркала прозрачные с одной стороны, хотя тут злой умысел уже не скрыть. Будучи девушкой, говоришь на ресепшн: «Мне кажется, что за мной наблюдают через эти камеры, т.к. мои парни-друзья, что ходят со мной на фитнесс, постоянно хихикают и намекают недвусмысленно на то, что они видели тебя голой… и т.п.»… Так обращаешься несколько раз… всем насрать на твои жалобы. Обращаешься к другу-айтишнику, в кафешке рядом через этот же вайфай через 10 минут, вы уже смотрите на голые жирные туши.
                      Ваша реакция?
                      • 0
                        А еще лучше, вы муж этой девушки, узнали об этом и сообщаете администратору, а тот никак не реагирует. Узнали не об айпишнике, а именно о том, что есть обоснованные опасения, что доступ к камерам есть у многих «желающих». А уже после нескольких попыток достучаться уже узнаете об айпишнике.
                        Вот я бы привлек правоохранительные органы.
                        • 0
                          Вот я бы привлек правоохранительные органы.

                          и такой вариант тоже уместен. но не паблик же.
                          • +1
                            Ну с этим я лично согласен. Но я принимаю не только свою точку зрения. Люди бывают разные. Некоторые вот геи, некоторые не очень умные, другие слишком умные. И т.п. Один обратится в органы, другой набьет морду, третий может быть даже промолчит, а четвертый совершит такое, что вы даже представить себе не сможете. Реакция может быть совершенно разная. И это может выглядеть ненормальным с вашей точки зрения, но совершенно логичным с другой. Я к тому, что все приводит вот к таким вот ситуациям. На жалобы надо обращать внимание и даже как вы сказали ниже «параноидальные». Сразу отвечу тут на комментарий ниже. Совершено преступление, моя реакция однозначна и не подлежит пересмотру. За преступления надо отвечать, пусть даже это преступление сделано из глупости, глупость можно простить разве что ребенку. Еще раз повторю, реакция на преступление может быть разной, это надо учитывать, но в любом случае могут быть последствия и их надо учитывать. Пострадать может и сам пострадавший, как вы заметили ниже «Той девочке станет ещё хуже.» Да именно, станет еще хуже, но будучи в самом центре завязки всех этих ситуаций, а именно первопричиной всего этого, нужно делать все, чтобы избежать последствий. Тем более если носишь гордое имя, звучащее у всех а устах.
                        • 0
                          А Вы, кстати, не замечаете подмену ситуации?

                          Администратору высказываете параноидальные предположения, а в органы уже с доказательствами идёте.
                      • 0
                        Ну если с квартирой не так очевидно, пусть это будет дверь БЦ или какого-нибудь шаред склада.
                        В любом случае открытая дверь — проблема владельца этой двери. Вернее того, в чьей зоне ответственности она находилась.

                        Ваша реакция?

                        конечно же сразу солью всё это в паблик, что бы все, кто ещё не успел посмотреть на девочек, смогли это сделать «/irony»

                        Таки считаю, что слив в паблик такого рода информации, что о дырке, что об открытом складе, что о девочках без предварительного информирования разработчиков увеличивает ущерб (моральный, репутационный, материальный) всех участников.
                        Той девочке станет ещё хуже.
      • +17
        Пришлите хоть что–то, дату-время, subject, Message-ID. Я очень хочу найти это письмо.
      • +6
        В красках представляю себе ситуацию. Очень интересно во сколько был взломан аккаунт или сколько готов выплатить Яндекс за сворачивание дискуссии. Хотя могли и просто судом за несанкционированный доступ пригрозить. :) Белое хакерство начинает и получает по зубам от чёрного корпоративного сектора. :)
        • +1
          или сколько готов выплатить Яндекс за сворачивание дискуссии.


          Кстати, давно думал вот о чем. Подобные статьи проскакивают на Хабре с постоянной периодичностью (ну, не на столько эпичный фейл как сейчас, конечно, и даже может в 100 раз «менее круто» — но тем не менее, суть сейчас не в степени ужасности). Так вот, почему бы, соблюдя все неофициальные правила и проинформировав вендора, дав ему 2 дня / 2 недели / 2 месяца /… на исправление уязвимости и НЕ дождавшись официального сообщения в блоге компании, о том что уязвимость закрыта и все возможные и невозможные действия по исправлению ситуации выполнены на самом высоком из возможных уровней (мечтаю об идеальной реакции) — кроме статьи на Хабре, которая кроме плюсов в карму и заслуженного уважения коллег по цеху, перейти к практическим действиям. Открыть лот на профильном сайте (например, 0day.guru (отношения к сайту не имею никакого) — пусть он и пустой пока, но он работает, анонимен, никаких регистраций, оплата всеми возможными способами, никаких комиссий и т.д.) — и выпожить там описание бага без тех.деталей, и влепить цену 10 000 USD. Аукцион позволяет не ждать окончания и сразу же сделать предложение, «от которого невозможно отказаться» — пусть Яндекс (или кто там плохо себя повел) и выкупает его в первые секунды за х2 от цены, лишь бы замять скандал. Для компании, купившей дырку от бублика за 1 миллиард рублей, 10к — песчинка, капля в море. Но это совсем не тоже самое, что альтруистическая статья на Хабре, раскрывающая все детали, описывающая от А до Я проблему — ладно что весь мир узнал, но проштрафившейся компании остается только лишь, как ниже сказано, запереть бригаду ответственных программистов на выходных в офисе — и к понедельнику все будет пофикшено. А так, в предлагаемом варианте, будет тоже самое (бо предлагаемый вариант с выкладываением бага на продажу не отменяет статью на Хабре) — разница лишь в том, что нашедший еще и положит десяточку в карман, и будет прав. И компания в следующий раз будет повнимательнее мониторить свой внешний баг-трекер.

          Все IMHO. Те, кто подписан на e-mail рассылки типа bugtraq и подобных, знают, там внизу каждого CVE короткая справка — баг найден в день Х, в Х+1 проифнормирован вендор, вендор ответил в Х+2, в Х+10 баг проправлен, все могут скачать свежие пакеты / пересобраться с github и т.д., в день Х+11 данная рассылка инициирована. Вот так и должно быть.
          • 0
            А как на участие в таких торгах смотрит уголовный кодекс? А то ведь у компании тогда появится рычаг для воздействия на исследователя.
  • +10
    Между прочим сегодня пятница, о лучшем подарке программисты и мечтать не могли, выходные и работа, что может быть лучше? Ведь каждый разработчик мечтает о том чтобы все переписать
    • +2
      Мне интересно как они будут переписывать андроид приложение.
      Потому что именно в нем основные дыры и сосредоточены.
      • –2
        Для этого не нужно переписывать андроид приложение. Дыры в сервере, а не в приложении. Приложение не может само получить то, что сервер не даст.
        • +5
          Что за школьники минусуют? Видно те же, что и пишут такие андроид приложения с дырами. Любой безопасник Вам объяснит, что все дыры связанные с работой апи лечатся и закрываются на сервере — других вариантов нет и быть не может.

          Расскажите мне господа минусовальщики, где и как Вы можете нарисовать такие дыры в клиентском приложении, если апи Вам просто не отдаст данные без соответствующей авторизации и прав чтения конкретной информации?

          Или можете даже статью написать, как чинить дыры в апи посредством исправления андроид приложения. Это будет крайне полезно для тех лиц, которые пользуются уязвимостями апи. Отлично же — приложение исправили, стадо успокоили, ответственных наградили. А дыра в апи как была так и осталась, все кто пользовался — также и будут продолжать пользоваться.
          • +3
            Не минусовал, но тут проблема в том, что андроид-приложение однозначно потребуется переписывать. Иначе после закрытия дыр на сервере, через которые оно и работает, оно просто отвалится.
            • –1
              Многие совсем разучились читать или понимать, что читают. Я не говорил, что его не надо переписывать. Я довольно четко написал «для этого» — что в контексте комментария, на который я отвечал имелось ввиду «переписывание ДЛЯ закрытия дыр». Всем программистам стоит начинать с курса внимательности, понимательности и точности изъяснения.

              И кстати еще не факт, что оно отвалится. Если оно хотя бы более менее грамотно построено, то оно перестанет получать часть данных, которые оно и так не отображало. Для примера там где приходил список всех, придет только список доступных для конкретного авторизованного пользователя.

              Не потакайте школоте, и да не окажетесь среди них.
              • +2
                Лично я понял вот этот абзац:
                Взяв приложение «Таксометр» с андроид маркета мы быстро выяснили, что оно делает запросы по неавторизованным урлам. И первый неавторизованный http-запрос, который делает это приложение…
                как то, что приложение делает запросы до авторизации. Т.е., что оно делает запросы не идентифицируя себя, и, соответственно, проверить права доступа и ограничить список со стороны сервера — нельзя.
                Соответственно, тогда «просто закрыть дыры» будет равносильно «просто закрыть сервис».
                • 0
                  Если не знать контекста (а мы в данном случае не знаем) в котором делаются эти вызовы и для чего — мы не можем ответить на вопрос — как это повлияет на работу приложения.

                  Возможно, что никак. Представьте себе — такое тоже бывает, что делаются бессмысленные ни на что не влияющие вызовы. Да и чему удивляться после таких дыр в апи?

                  Давайте не делать необоснованных предположений. Мы же все таки программисты и мы пишем конкретные инструкции для программ, которые не зависят от предположений сторонних людей(если это не предусмотрено программой). В практически абсолютном большинстве мы даже рандом используем синтетический ))
                  • +4
                    Для этого не нужно переписывать андроид приложение
                    Давайте не делать необоснованных предположений.
                    Давайте.
    • +16
      из описания, похоже, что у программистов были пара лет, чтобы спланировать работу в эти выходные
    • +1
      Так что, о таких уязвимостях лучше сообщать в понедельник, чтобы они висели еще целые выходные? Пофиксить немедленно!
      • +2
        нет, я всего лишь о незапланированной масштабной работе на выходные, о простом человеческом)
  • +28
    В общем, в первом приближении мы исправили.

    Более верные идеологически фиксы в пути.
    • +4
      А правда, что это купили за лярд?
      • +2
        Значимую финансовую информацию Яндекс раскрывает в квартальных и годовых отчетах в соответствии с требованиями SEC.
        • +1
          Здорово, но может кто-то извлечь из этой массы документов информацию о сумме сделки?
          • +1
            Никто не может, потому что «сумма сделки не раскрывается». Что самое смешное, сумма сделки по приобретению Auto.Ru доступна совершенно свободно («около 175 млн. амер. зел. баксов»).

            Еще смешнее то, что на упомянутой странице квартальных и годовых отчетов поиск Яндекса не работает вообще.
        • +6
          Кстати, а почему поиск Яндекса на этой отдельно взятой странице не работает?
          image
  • –2
    ACL. Не, не слашали. (или не слушали) Студенты.
  • +1
    Даже Лента написала.
    • +3
      «автор нескольких статей на «Хабрахабр», известный на сайте под псевдонимом lamamer»

      «Результаты проведенного исследования автор опубликовал в своем блоге.»

      «Автор исследования уведомил специалистов «Яндекса» об обнаружении открытого доступа к базе данных системы.»

      лента такая лента [x]
      • +7
        Лента уже давно не та.
  • +31
    Ха-ха, с апдейтом в начале поста всё стало в два раза интереснее
    • +8
      Чувак понял что выкладывать и скачивать(?) кучу приватной инфы — серьезно преступление — за такое даже в РФ могут по шапке надавать, и разыграл драму мол мопед не мой?
      • +2
        Судя по всему этот товарищ находится не в РФ, а на одном большом острове на севере Европы, так что из РФ дотянуться до него может быть не так уж просто
    • +5
      Ждем новых постов от автора!
      Статьи можно начинать с «один мой друг..»
      • +4
        Или «снилось мне...»

        Только скриншоты из сна вытаскивать неудобно(
        • +1
          В пейнте рисовать на подобие)
  • +7
    Честно говоря, от Яндекса такого не ожидал. Мне кажется, или использовать URL без авторизации в таком закрытом приложении — это какой-то дикий абсурд и очевидный баг?

    А вообще на отмену заказа и последующее прибытие какой-то непонятной машины (без опозновательных знаков, с оплатой по договорённости без счётчика и т.п.) почувствовал на своей шкуре в Питере пару раз. Очень насторожило, как мог приехать на заказ убитый Лачетти лет 6ти от роду, когда у них требования — машины до 3х лет. Теперь уже понимаю в чём соль.
  • +1
    >> Сегодня с удивлением узнал от коллег об этой записи. Выяснилось, что мой аккаунт взломали — представители Хабрахабра это подтвердили

    В чём смысл использования взломанного аккаунта для публикации статьи?
    Сообщать о дырах в Яндексе настолько опасно для жизни?
    • +2
      Учитывая специфику бизнеса, да ещё и по всей России, лишняя перестраховка не повредит.

      А ещё за такое иногда инвайты дают
    • –1
      Когда речь идёт о единовременном просире лярда? Сами то как думаете. :)
    • +1
      Учитывая масштабы сделки и агрессивность подачи — может и опасно с юридической точки зрения.
  • +14
    Когда я работал в Яндексе — при всем уважении к компании — я время от времени обнаруживал баги, о которых старался незамедлительно сообщать ответственным лицам. Сначала я наивно сообщал только руководителю проекта, но заметил, что это очень неэффективно и вопрос, как правило, не решался.

    Тогда оказалось, что если в список сообщаемых лиц добавлять сразу несколько человек — ответственному лицу, его начальнику, еще нескольким людям — начинается переписка, обсуждение, и вопрос уже не так просто задвинуть в долгий ящик.

    Но и это оказалось не так эффективно — машина сопротивляется и не хочет сворачивать с намеченного пути. Вместо того, чтобы решать проблему на уровне выше, чем возникла сама проблема, фиксятся частные случаи. Например, вот три тикета с одним и тем же источником проблемы. Вместо решения источника проблемы, фиксятся записи БД только для этих трех конкретных случаев.

    Для того, чтобы проблема решилась по-настоящему, я обнаружил, что надо самостоятельно провести исследование, посмотреть, например, сколько случаев из всех возможных эта проблема затрагивает, нарисовать графики, диаграммы Вороного и т.д. После этого весь этот материал сообщить нескольким людям и смотреть, как проблема решается.

    Вероятно, что настоящий автор статьи работает в Яндексе, но не смог достучаться до нужных людей, устал от отмазок и частных фиксов, потому и придумал этот весьма эффективный способ!
    • +9
      Сотрудник Яндекса взломал аккаунт сотрудника Байды, чтобы написать о баге Яндекса, а затем чутка пропиарить Байду. Байда какая то получается.
      И, пользуясь случаем, хочу напомнить, что у нас в Badoo уже несколько лет идет программа «Проверь Badoo на прочность» и мы платим за найденные уязвимости.
      А еще у нас открыто много вакансий в Москве и Лондоне!
      • +1
        Это приписка от настоящего владельца аккаунта, на сколько я понял.
        • 0
          Да, настоящий владелец аккаунта работает в Байду (апдейт от него), а тот, кто взломал и написал статью в Яндексе.
    • 0
      а диаграммы вороного, чисто потому что, во-первых, это красиво?
      • 0
        Да, «красиво» преобразуется в «убедительно».
  • +2
    История про взлом аккаунта выглядит сомнительно.

    Во-первых, взлом — это чистой воды уголовное преступление как в России, так и за рубежом. Последствия могут быть намного более печальными, чем от чьего-то недовольства статьей.

    Во-вторых, если целью взлома была анонимизация, для этого есть менее незаконные и фатальные способы.

    Приписка про взлом могла появиться по нескольким причинам:
    • автору «позвонили» Очень Серьезные Люди и выразили свою крайнюю степень неудовольствия. Понятная человеческая реакция — «это не я»;
    • автор недооценил степень позорности описанного для яндекса и, не дожидаясь звонка из предыдущего пункта, решил подстелить соломы;
    • cтатья была размещена владельцем аккаунта по-дружески, чтобы анонимизировать некоего инсайдера. После публикации что-то изменилось и публикация была преподнесена как взлом;
    • смысл сообщения о взломе — в увеличении внимания к предмету обсуждения и в промо-приписке от Badoo в начале статьи.
  • 0
    При обнаружении уязвимости следует сообщить владельцу ресурса, а не трезвонить в интернете. Опубликовать статью об этом можно будет тогда, когда разработчики сообщат о том, что они все пофиксили. Если же вендор проигнорировал сообщение об уязвимости, то сначала его следует уведомить о своем намерении опубликовать информацию о дыре, и только потом можно писать. Именно такое поведение отличает специалиста по информационной безопасности от хакера-хулигана.
  • +5
    Кто-то роет под яндекс.
  • +2
    «Иван, ну да, ты (как ты говоришь) не специалист по безопасности, но посмотри, как могут у меня воровать водителей? Ты же IT-шник, в конце концов!».


    Просто айтишник и угон чужого акка на хабре? Нестыковочка)
    • +7
      Вообще говоря хотелось бы услышать комментарий администрации хабра ( habrahabr deniskin ).
      Действительно ли был факт взлома аккаунта, и если да — каким образом?
      • 0
        +5 за habrahabr и deniskin
      • 0
        Яндекс связался с автором публикации (он работает в Badoo) и в процессе общения выяснилось, что пользователь не размещал эту публикацию на Хабре — это сделал кто-то другой, кто получил доступ. Каким образом подобрали/угнали пароль — не совсем понятно.
        • 0
          Самое интересное — это логи в этот момент, с того же IP/браузера/ОС, что обычно у этого пользователя или совсем левые и т.д.
          • 0
            на месте хабры я бы эту информацию никому кроме владельца учетки не сообщил. но, думаю и ему не сообщили.
          • +2
            Совсем левые.
  • –3
    Как мне сообщил один высококлассный программист, который раньше работал в Яндексе, за последние 3 года уменьшается спрос на контекстную рекламу. Это просто падение всего рынка. Контекстная реклама занимает более половины всей выручки поисковых компаний. То есть, говоря по-простому "пирог скукоживается".

    И это на фоне резкого увеличения штата Яндекса (про Google не в курсе).

    По этой причине я убежден, что кто-то кого-то выдавит из отечественного рынка.
    Разумеется не совсем… Просто у проигравшего будет место у параши…

    Да, это грустно… Но таковы реалии…
    • 0
      Настало время удивительных историй от «бывших» сотрудников Яндекса? :)
      • 0
        shaman3D, за что купил, за то и продаю.
        Я в Яндексе не работал и не работаю. Но своим друзьям верю. Особенно если они компетентны.

        Никакой удивительной истории я не рассказал.
        Сказал две вещи: 1) рынок контекстной рекламы падает 2) штат Яндекса раздувается. «Яндекс уже не тот.» (не моя цитата)

        Я хочу докопаться до истины. Пока один «очный» друг и трое «заочных» знакомых из Яндекса говорили так же…

        Возможно у меня некомпетентная выборка.
        Если вы — сотрудник Яндекса, я с радостью послушаю вашу точку зрения.
  • +1
    у нас в Badoo уже несколько лет идет программа «Проверь Badoo на прочность» и мы платим за найденные уязвимости
    Подобравшему пароль к учётке TS'а уже выплатили?
  • 0
    мне интересно, проведет ли прокуратура проверку по факту вольного обращения с персональными данными?
    полагаю, успешное завершение такой проверки будет стоить яндексу еще миллиард.
    очевидно, что выгоднее произвести аудит, переписать код.
    почему-то у нас только судебный иск расширяет зрачки у компаний, ну да спишем на национальные особенности.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.