Яндекс приобрел у компании «Росинфотех» сервис для управления таксопарком «Рос.Такси», который лег в основу службы Яндекс.Такси. Однако ПО содержало серьезные уязвимости, которые позволяли воровать у Яндекса не только клиентов, но и водителей.
На момент заключения сделки через «Рос.Такси» и так уже обслуживалось до 70% машин и до 60% заказов Яндекс.Такси. Через уязвимость можно было получить все данные о пользователях программы, просто просмотрев исходный код веб-страницы.
Таким образом заинтересованные лица могли с помощью специального скрипта просматривать все текущие заказы сервиса и перехватывать их. Для водителя перехват будет выглядеть как отмена заказа, а для клиента, как замена автомобиля.
Специалист по безопасности, раскрывший уязвимость, сообщил, что уведомил Яндекс о проблеме. В свою очередь в компании сказали, что знают о проблеме и она уже решена.
