Расследование кражи со взломом или как быстро и просто потратить миллиард

Расследование кражи со взломом или как быстро и просто потратить миллиард

508

Обновление: Всем привет! Обзор уже отметили представители «Yandex’а»: он произнес, что Уязвимость закрыта, мы проводим аудит сохранности программного обеспечения. Сейчас с удивлением вызнал от коллег о этом пост. Но я оставляю эту запись как есть, для истории. Оказалось, что мой акк взломали — представители Хабрахабр подтвердил и вернул мне доступ и сейчас понимаю, как это вышло.
И, пользуясь случаем, желаю напомнить, что у нас в badoo в течение пары лет-это программа «проверки на badoo на крепкость» и мы платим за найденную Уязвимость.

И я желаю поведать для вас о вариантах коррупции чрезвычайно похожи, но в чисто ИТ-бизнеса, правительство не завязывают. Все повсевременно молвят о коррупции.
Последующий вариант увлекателен с точки зрения хакерского бизнеса, хотя статья больше посвящена взлому в этом смысл.
Начну с не-технической части.
Несколько лет назад, когда рынок Столичного такси стал большим игроком (и на данный момент — монополия) — Yandex, мой друг, естественно (как и все остальные малые и большие игроки в этом бизнесе) также присоединилась к заказам Yandex такси. Был в бизнесе в течение достаточно почти всех лет. Мой друг-одноклассник работает в сфере бизнеса, столичное такси.
В течение пары лет он работает в Yandex’е.Такси через ООО » РОСИНФОТЕХ.
Где-то около 6 месяцев назад «Yandex» заполучил компанию и сейчас он именуется Yandex.Таксометр либо что-то.
Что это: это набор драйверов для управления (можно добавить/убрать авто — /водителя) и принять/Отмена, чтоб отследить заказ.
Это мой друг на протяжении пары лет жаловались мне лично на нескончаемую российскую делему: «воруют.» Сейчас, я обещал, что начну с не-технической части.
Ведает, что водители воруют, приказы, и даже, прогуливаются слухи, что средства из QIWI кошельки…
Слева шофер (украл) из иной компании, и он считает, что его украли — рядовая история. Но в эти выходные он умолял меня: «Иван, Да, вы (как вы говорите) не эксперт по сохранности, но поглядите, как я могу украсть водителей? Ты IT-шник, в конце концов!». Ну, люди жалуются на жизнь. Я воспринял это как философски.
Мы сели с ним в кафе с WiFi и металлической.
Отделка общего введения я скажу, что, по слухам, посреди компаний, работающих с Yandex-такси, которые идут в том числе от Росинфотех, Yandex заполучил выше наиболее чем в млрд.

Запомним эту цифру, она нам пригодится в конце статьи.
Так, введение закончилось, перейдем к технической части.
Он отдал мне логин/пароль для личного кабинета в диспетчерской, и я отправился туда.
Там все просто: перечень драйверов: добавить/удалить/заблокировать/печати. д. Отчеты, приказы и т. Я поглядел незначительно по страничкам, я увидел, что практически весь веб-сайт построен на том, что ссылки либо запросы возникают по uuid.
Нажав на водителя, вы сможете узреть, что uuid водителя, упомянутые в ссылке информация.
Дальше было любопытно узнать три вопросца:

можно ли выяснить идентификатор uuid шофер иной компании
разве можно, зная это uuid для получения инфы о иностранный шофер (на самом деле то, что посетовал мой друг)
можно ли получить доступ к заказам водителей остальных компаний

Походив по страничкам личного кабинета, я увидел, что uuid назначается и компаний тоже.
Он произнес: «Да, в личном кабинете Yandex’а я указал в URL для API». Поглядите на этот URL и поглядеть — все водители компании моего друга в комфортной для разбора XML. «Ага!»- Я поразмыслил, и начал спрашивать моего друга, раз он знает, что такое uuid и применяли ли его где-то. Без авторизации. «Иди сюда,» произнес я, «этот URL-адресок». Он дает мне что-то вроде этого sync.yandex.taxi.itrf.ru/drivers/<UUID>.
Как это сделать? Мы около получаса рытья на URL-адресов, используя Ctrl-U, и отыскали много методов, как это сделать. Что такое uuid для остальных компаний. Как я уже произнес выше, в неких местах Веб-сайта является очевидное сочетание кнопок Ctrl-U в браузере указывает uuid в остальных компаниях, но мне было интересно получить идентификатор uuid адреса всех компаний, которые его употребляют.
К примеру, вот таковой вот прекрасный формате json говорит нам аналогичный перечень:

Обратите внимание, что перечень затрагивает все регионы страны, не лишь Москвы.
Но, по-прежнему на. Таковых мест предостаточно. Ну либо подобные списки могут быть найдены в разных пт, списков и др.
Для этого мы избрали один из столичных компаний — взял XML-код со всеми его драйверами (которые, как описано выше, доступны без входа в систему) и продолжил опыты на ней. Любопытно было возвратиться в драйвера карт и разглядеть их ближе.

— все видно. Информация о хоть какого водителя (в том числе чужих) доступен по адресу: URL-адресок С uuid. Рейтинги, когда я сдавал экзамены такси, проживание человека и т. Взял пару драйверов из файла XML, представил их uuid в карты в личном кабинете. д. Поглядел карточку водителя.
Это как бы наиболее подробная информация (больше, чем выше формате XML).
Возможно, создатели этого по поводу понятия «авторизация», «аутентификация» не слышал, еще, еще меньше о разнице меж ними.
Там, сидя в кафе, я набросал скептик в Python, и через 20 минут у нас была база данных всех водителей Yandex.Такси во всех городках (не лишь в Москве) с их телефонов, рейтинги, проживание права, лицензии, балансы счетов и другую личную информацию.
Меня вот про этот xls файл:

Так я получил настоящие подтверждения из наиболее чем 2-ух подозреваете мою подругу в воровстве водителей.
Позже стало любопытно поглядеть незначительно шире на эту делему: доступность этих uuid и без авторизации. Оказалось, и это!
Она предоставляет широкий диапазон сопутствующих услуг. К примеру, такси интернет-форму на веб-сайте компании-заказчика.
Идентификатор uuid из этих компаний, которая (напомним) можно безвозмездно получить все водители. Смотря (сочетание кнопок Ctrl-U), раз на пары партнерских веб-сайтах Yandex такси, что вы думаете я отыскал? Верно!
Таковым образом, не исключаю, что какой-или поисковой системы (включая Google один день будет регистрировать все те личные данные компаний и людей.
д. Потом мы смотрели на иной ресурс без разрешения данной компании. В открытом доступе в режиме настоящего времени журнальчик всех заказов Yandex такси. Вы сможете созидать, на кого возложены что с ним происходит, кто выступает, адресок, и т.

Нажав Ctrl + U на данной страничке, мы лицезреем идентификатор заказа, в компании которого он назначен.
Так мы выкопали идентификатор заказы остальных компаний на несанкционированные странички (уполномоченное они тоже есть, но снова же: было любопытно отыскать на несанкционированных).
Дальше, используя инструменты, доступные в различных частях лицевого счета, мы можем не лишь следить, но и влиять на процесс: к примеру, иностранной компании для представления на отмену заказа, и выслать в каре заместо этого!
Для клиента — типа «приехала иная машинка». Для водителя это будет смотреться как отказ от заказа.
Это просто Клондайк что-то для кого-то, настроенный к нечестным способам ведения бизнеса!

но мы неотсюда и статья 🙂
Продукт представляет лишь вид просмотра записей в базе данных без какой-или защиты меж юзерами. Самое увлекательное, что это не просто одно отверстие, и все для этого весь, весь сервис построен на том, что никакой защиты нет инфы.
Представьте регистрация в Google ты можешь глядеть на всю почту для всех юзеров Google. Вот о таком случае.
И 1-ый несанкционированного http-запрос, который делает это приложение — Угадай, что? Принимая приложение «Таксометр» с Android маркет, мы быстро нашли, что она делает запросы на несанкционированный URL-адреса. Комплекс содержит еще одно приложение для Android. Но давайте продолжим.
Верно, полный перечень пар идентификатор-имя компании!
С помощью URL-адреса берутся из этого приложения, вы сможете:

принять/отменить заказы от имени остальных водителей
писать широковещательные и адресные сообщения (к примеру, вакансии) на остальных водителей
и так дальше.
Тут я получил еще одно доказательство, что не лишь водители, вы сможете украсть, но заказы от таковых водителей.
Мы должны созидать в платные разделы рынка). К огорчению, на рынке Android лишь не выложили (либо выложили? Молвят, что ушлые люди даже выпустил на эту тему особое приложение для перехвата заказов Yandex.Такси.
А сейчас давайте незначительно поразмышляем на тему, о которой я писал в начале.
Коррупция либо не коррупция.
Таковым образом, судя по картинке выше, никаких технических аудит данной программы не делается. Да, Yandex-это личная компания. Слово «коррупция» неприменимо к ним. Но, возникает увлекательный вопросец: Yandex покупает тут за немалые средства (млрд) и программного комплекса.
Что я отыскал (рядовой, офицер) на пару часов рытья в кафе, эксперт по сохранности отыскал бы без особенного труда, но вот вопросец: почему этот человек (которому Yandex предостаточно) ‘т даже поглядел на этот комплекс за млрд?
Вы думаете, что этот набор был куплен для использования «откатов», либо нет?
Хм… Мне кажется, что, проводя сделку на миллиардов, а не $ 10 тыщ рублей за один рабочий день спеца для аудита это… либо сознательной халатности, либо чрезвычайно охото быстро от млрд избавиться.
Разъяснение заключается в том, что оно было приобретено с помощью отката — на мой взор, самый логичный.
Наверняка, он должен начать уточняющие приобрести Сб Yandex. Увлекательный вопросец: кто в Yandex приняли решение приобрести такую «крупная дыра»?

ЗЫ: опосля того, как мы paraglacial Таксометр дроид-маркета, мы смотрели в устройство приложение для заказа такси с того же рынка — Yandex.Такси. Что удручает там ситуация чрезвычайно похожа. Это сделали люди, дальние не лишь по дилеммам сохранности, а также по вопросцам высоконагруженных программирования.
Вообщем, это совершенно иная история, можно написать отдельную статью.
А вы? Я лично как-то страшно сейчас, чтоб заплатить за поездку с помощью кредитной карты. ППС: не так давно Yandex.Такси ввело проездной кредитной карты.

Можно лишь выразить восхищение предпринимательских возможностей у этих людей. УПД: Yandex уведомлена о дилемме, так вот я предлагаю обсудить метод взлома бизнеса Yandex.Такси употребляется товарищи из вышеупомянутой компании. habrahabr.ru Согласен породы наикрупнейшей компании Руинтернета на такие средства без какой-или проверки свойства впаривают код — не ваш бабульки продавать пылесосы…