{"id":1015,"title":"\u0410\u043b\u044c\u0431\u043e\u043c \u043e \u043b\u044e\u0431\u0432\u0438 \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0432\u043e\u0439\u043d\u044b \u0431\u0435\u0437 \u0435\u0434\u0438\u043d\u043e\u0433\u043e \u0441\u043b\u043e\u0432\u0430 ","url":"\/redirect?component=advertising&id=1015&url=https:\/\/tjournal.ru\/umg\/472440-poslushat-novoe-oulavyur-arnalds-i-strunnyy-kvartet&placeBit=1&hash=2f79f2d1dce5a3269d2e27f43f5810c5215f9449ef7975dca45f4a27e2574b04","isPaidAndBannersEnabled":false}

Пользователь «Хабра» рассказал о способе отслеживать водителей «Ситимобила»

Он считает, что эти данные могут использовать конкуренты.

Изображение Krupnikas

Пользователь «Хабра» под ником Krupnikas рассказал, что нашёл способ отслеживать водителей «Ситимобила». Он написал об этом разработчикам, однако те не посчитали это уязвимостью, так как эти данные видны пользователю в приложении.

Krupnikas уточнил, что информацию о 10 ближайших водителях можно получить, отправив API-запрос. В ответ приходит информация о классе авто, его цвете и местоположении. Чтобы получить данные о всех московских водителях пользователь «Хабра» написал алгоритм, который выдавал ему информацию о всех работающих в тот момент таксистах «Ситимобила».

С помощью этого алгоритма можно узнать, какое количество водителей было на работе в определённый час.

​Слева — количество водителей, снизу — время

Алгоритм также позволяет отследить движение определённого водителя.

Krupnikas считает, что такими данными могут воспользоваться конкуренты. «Я бы использовал данные для ценообразования, например. Или вычислил водителей, работающих и там, и там на основе корреляций в геопозициях», — пояснил он.

Материал дополнен редакцией
0
15 комментариев
Популярные
По порядку
Написать комментарий...
Общий череп

Plague inc.

Ответить
18
Развернуть ветку
Общий череп

Комментарий удален по просьбе пользователя

Ответить
6
Развернуть ветку
Общий череп

Положение всех автомобилей тоже сдавать полная хрень. Ну и вообще апи без лимита на запросы это просто такое дно, что там, очевидно, можно украсть вообще всё если чуть копнуть.

Ответить
6
Развернуть ветку
Petr Petrovich

Комментарий удален.

Ответить
0
Развернуть ветку
Aleksey Nope

Я уже на словах "мы рассматриваем любых программистов, готовых пересесть на php" в вакансии в их контору понял насколько у них там все весело в разработке если они вот так вот просто готовы взять любого чувака, который php даже в глаза до этого не видел. Собственно вот эта вот ситуация и реакция на нее в стиле "это не баг, а фича" прекрасно демонстрируют подход к разработке в ситимобиле.

Ответить
4
Развернуть ветку
Александр Кулида

А что такого секретного в этих данных? Яндекс до 2017 года прям на сайте все машины показывал

Ответить
0
Развернуть ветку
Aleksey Nope

Ну во первых не совсем понятно почему api спроектирован так что данные, которые по идее могут использоваться только приложением в которое залогинились и запрашиваются от силы раз в минуту, доступны без авторизации и без ограничения на количество запросов. Яндекс, опять же, наверняка эти данные показывал с задержкой и очень небольшую выборку.

Второй момент гораздо более страшен в данной ситуации: по сути мы можем следить за каждым конкретным водителем в любой момент когда он в сети и без активного заказа. А уж если id водителя, отдаваемый на этот запрос, не меняется между входами в систему то все совсем печально. В такой ситуации можно (при весьма больших трудозатратах) узнать очень много разной информации. То же самое и с клиентами - если мы знаем где он сел в такси то мы можем узнать где он вышел из него.

Ну и опять же тут чисто вопрос бизнеса - конкуренты могут парсить информацию и строить какую-либо статистику по этому поводу. Например крутить тарифы в реальном времени в зависимости от количества машин ситимобила в определенной зоне.

Ответить
2
Развернуть ветку
Общий череп

Комментарий удален по просьбе пользователя

Ответить
0
Развернуть ветку
Aleksey Nope

Ок, дословный текст из вакансии если так нравится придираться к словам:

"Мы с удовольствием примем и поддержим людей с другим стеком, которые готовы начать изучать PHP и Go."

Ответить
1
Развернуть ветку
Николай Кокоулин

Я к ним собеседовался, правда давно, и что удивительно не прошел, хотя в Я, например прошел, так что странно это

Ответить
0
Развернуть ветку
Глеб Котельников

Трипофобы в восторге.

Ответить
1
Развернуть ветку
Stan Majors

Полная страна талантов, надо в айти вкладываться!

Ответить
0
Развернуть ветку
Общий череп

Сервис уровня 2007.

Ответить
0
Развернуть ветку
Игорь Янович

Я бы использовал данные для ценообразования, например.
Я бы - я бы, ну так бери и используй, свяжись с конкурентами и продавай им данные, если они им конечно нужны :)

Ответить
0
Развернуть ветку
Глеб Самойлов

Отвратительное такси, если сравнивать с яндексом и геттом

Ответить
0
Развернуть ветку
Читать все 15 комментариев
null