Комментарии 104
А уязвимость с QIWI кошельками вы не нашли?
И ещё непонятен вопрос: какой смысл водителям работать с компаниями, почему не подключаться напрямую к Яндексу?
И ещё непонятен вопрос: какой смысл водителям работать с компаниями, почему не подключаться напрямую к Яндексу?
НЛО прилетело и опубликовало эту надпись здесь
Софт яндекс сам может написать какой надо. Или переписать потихоньку.
В любом случае оставлять работать то, что есть — это позор. Уж за 4,5 месяца после покупки могли бы сделать аудит и прикрутить авторизацию.
Я почти уверен, что весь софт они переписывают. Аудит как раз провели и ах.., но база клиентов была важнее. Вот почему за пол года не исправили ситуацию — другой вопрос. Впрочем, ходят слухи, что у яндекса сейчас не все гладко и проблем хватает. Надеюсь, это только слухи, а ПО до ума доведут, ведь перед ними непростая задача: оставить удобство для водителей, которые уже пользуются услугой, повысить безопасность, но и не поломать старый функционал (легальный старый функционал).
И что? То, что гугл знает адреса сайтов всех компаний вас тоже пугает? UUID, название и город — не является приватной информацией. Даже список водителей может не являться таковой. Да даже номера (приложение вроде как показывает номер машины, которая к вам приедет). Финансы — другой вопрос, точнее даже не вопрос, это не стоит показывать. Вот что действительно печально — возможность совершать какие-то действия с «чужими» водителями и заказами. А что касается «переманить к себе» — через ту же почту можно.
UUID адреса ВСЕХ компаний
И что? То, что гугл знает адреса сайтов всех компаний вас тоже пугает? UUID, название и город — не является приватной информацией. Даже список водителей может не являться таковой. Да даже номера (приложение вроде как показывает номер машины, которая к вам приедет). Финансы — другой вопрос, точнее даже не вопрос, это не стоит показывать. Вот что действительно печально — возможность совершать какие-то действия с «чужими» водителями и заказами. А что касается «переманить к себе» — через ту же почту можно.
> И что?
в общем-то ничего: вставляя UUID в урл мы получаем доступ ко всем водителям/компаниям/приватным данным.
UUID публично доступны и доступ свободный. фигня в общем.
в общем-то ничего: вставляя UUID в урл мы получаем доступ ко всем водителям/компаниям/приватным данным.
UUID публично доступны и доступ свободный. фигня в общем.
Повторюсь. Есть приватные данные (финансы, какие-либо отчеты), есть публичные. Список компаний — публичные, что, в общем то, логично. Список водителей у компании — публичный (я, как пользователь, должен иметь возможность проверить — приехавший водитель действительно ли является водителем этой компании). Номер машины водителя — по тем же причинам публичный. Количество денег у водителя — приватные данные.
Да, эти списки должны быть доступны только на чтение, я, не будучи авторизованным как уполномоченное лицо этой компании, не должен иметь возможность отменять заказы, однако id в ВК такие же публичные и что-то это ни у кого не вызывает сомнений.
Да, эти списки должны быть доступны только на чтение, я, не будучи авторизованным как уполномоченное лицо этой компании, не должен иметь возможность отменять заказы, однако id в ВК такие же публичные и что-то это ни у кого не вызывает сомнений.
Для проверки, относится ли водитель к компании, не требуется получение списка всех водителей в этой компании.
1) если компания присылает тебе такси, тебе надо знать имя водилы? ты думаешь, они пришлют не своего работника? ты спрашиваешь паспорт у водилы, чтобы убедиться, что этот тот самый водила?
тебе просто говорят цвет, марку и номер машины.
2) «однако» ты подменяешь, что «должно быть сделано здесь» тем, что «сделано там»
В софте дыра. Нет, не так. В софте ДЫРЕНЬ! И здесь это деньги и ресурсы.
из «Хищника»:
— … и вот она раздвинула ноги. Я и говорю «Ну и дыра!.. ну и дыра..». Она мне «А чего ты всё по 2 раза повторяешь?» Я: «Это эхо..»
тебе просто говорят цвет, марку и номер машины.
2) «однако» ты подменяешь, что «должно быть сделано здесь» тем, что «сделано там»
В софте дыра. Нет, не так. В софте ДЫРЕНЬ! И здесь это деньги и ресурсы.
из «Хищника»:
— … и вот она раздвинула ноги. Я и говорю «Ну и дыра!.. ну и дыра..». Она мне «А чего ты всё по 2 раза повторяешь?» Я: «Это эхо..»
Будучи в отдаленном подмосковье, сажая вечером девушку на такси, я поинтересуюсь именем водителя. Впрочем, номера автомобиля обычно достаточно, тем не менее. Со списком всех водителей данной компании я погорячился, вряд ли это публичная информация, которая имеет смысл для обывателей.
В штатах за водителем располагается тачпад с полной информацией о водителе!
Убер присылает фио водителя и фотографию.
UUID сами по себе не приватная информация.
Плохо то, что действия с этими UUID не защищены авторизацией или цифровой подписью.
UUID сами по себе не приватная информация.
Плохо то, что действия с этими UUID не защищены авторизацией или цифровой подписью.
А что Вы скажете про номер водительского удостоверения? Мы тут недавно наткнулись на подобный «функционал», по которому можно вытянуть паспортные данные определенной категории лиц (говорить что за категория и как мы это сделали не буду, ибо ответа от разработчиков еще не получили и «функционал» еще не пофиксили).
> Повторюсь. Есть приватные данные (финансы, какие-либо отчеты), есть публичные. Список компаний — публичные,
список компаний работающих с Яндекс-Такси — есть приватные данные компании Яндекс-Такси.
список водителей, работающих с компанией «XXX» — есть приватные данные компании XXX и так далее.
а здесь еще без авторизации доступны такие вещи как: номера документов водителей, фотографии, оценки, балансы счетов итп
список компаний работающих с Яндекс-Такси — есть приватные данные компании Яндекс-Такси.
список водителей, работающих с компанией «XXX» — есть приватные данные компании XXX и так далее.
а здесь еще без авторизации доступны такие вещи как: номера документов водителей, фотографии, оценки, балансы счетов итп
а здесь еще без авторизации доступны такие вещи как: номера документов водителей, фотографии, оценки, балансы счетов итп
Это, разумеется, большой огрех и бреш в безопасности. Такие данные не должны быть доступны. Тут спора нет.
список компаний работающих с Яндекс-Такси — есть приватные данные компании Яндекс-Такси.
Которые яндекс любезно предоставляет при выборе кого подать.
список водителей, работающих с компанией «XXX» — есть приватные данные компании XXX и так далее.
Компании такси у нас КГБ что-ли? Можно придумать ситуации, при которых мне, как пользователю, этот список будет полезным. Да и не думаю, что информацию о сотрудниках так сложно получить. Но, допустим, это действительно может быть приватными данными. Как следствие — возвращаемся к тому, что проблема заключается в том, что нет разделения на «приватные-публичные данные», доступ к которым вправе выбирать (или они зашиты жестко) в системе (и сопутствующая — есть свободный доступ к этим данным), а не просто список UUID сам по себе.
> Да, Яндекс — частная фирма. Слово «коррупция» к нему не применимо.
Ну почему же не применимо? Коррупция — это использование служебного положения в личных целях. Пишется короче и звучит устрашающе (две буквы «р» в одном определении и ни одной в другом).
Другое дело, что для страны власть вроде как является исполнителем воли народа и её действия регламентированы законом (это как должно быть в идеале при отсутствии коррупции). В частной/акционерной же компании все на откупе у владельцев компании. Если сотрудник своим действием/бездействием работает на благо себе, а не владельцам — он по сути своей коррупционер.
Ну почему же не применимо? Коррупция — это использование служебного положения в личных целях. Пишется короче и звучит устрашающе (две буквы «р» в одном определении и ни одной в другом).
Другое дело, что для страны власть вроде как является исполнителем воли народа и её действия регламентированы законом (это как должно быть в идеале при отсутствии коррупции). В частной/акционерной же компании все на откупе у владельцев компании. Если сотрудник своим действием/бездействием работает на благо себе, а не владельцам — он по сути своей коррупционер.
НЛО прилетело и опубликовало эту надпись здесь
Яндекс уведомлен о проблеме
То есть вся эта дыра ещё открыта? Не очень понятно из текста поста.
Кстати, ответ Яндекса процитировать можно? Как бы это не оказалась стандартная отписка девочки из саппорта «ваше пожелания переданы разработчикам, мы с вами свяжемся если что».
Спасибо, интересная статья и толковое исследование.
Единственное что я могу сказать «С глупостью сами Боги бороться бессильны», может быть не стоит искать коррупцию там где достаточно банальной некомпетентности.
Решение о покупке принимали бизнес люди и решающим фактором была база клиентов. Про дыры в безопасности подумать у них банально могло не хватит знаний.
Я не оправдываю, просто хочу сказать что причины крушения иногда проще см рассказ Чехова «Злоумышленник».
Единственное что я могу сказать «С глупостью сами Боги бороться бессильны», может быть не стоит искать коррупцию там где достаточно банальной некомпетентности.
Решение о покупке принимали бизнес люди и решающим фактором была база клиентов. Про дыры в безопасности подумать у них банально могло не хватит знаний.
Я не оправдываю, просто хочу сказать что причины крушения иногда проще см рассказ Чехова «Злоумышленник».
А я-то думал, что среди крупных сервисов подобное давно уже не уходит в релиз…
Возможно тут принцип: работает не трогай. Но теперь то да, либо они это пофиксят, либо сейчас все будут красть данные. К слову статья мягко говоря вредительная. Яндекс еще ничего не исправил, а статья есть. Если раньше мало кто знал, то сейчас любой школьник может получить базы и продавать их кому нибудь менее осведомленному.
Убеждён, что если уж по какой-то (неадекватной) причине решил не продавать на чёрном рынке, то так и надо делать.
Мало случаев было, когда на багрепорт компания отвечала угрозами?
Мало случаев было, когда на багрепорт компания отвечала угрозами?
К слову статья мягко говоря вредительная. Яндекс еще ничего не исправил, а статья есть.
Вредительские — действия Яндекса: пускать сервис с такой дырищей.
Статья правильная, теперь Яндекс начнёт шевелиться быстрей и быстрей закроет эту уязвимость.
А пользовались ей и раньше, безо всякой статьи.
Интересно, прокомментирует ли Яндекс
НЛО прилетело и опубликовало эту надпись здесь
номера тикета увы не знаю. support@ видимо знает.
Предвосхищая вопросы
Мы думали с другом: опубликовать статью или же написать еще раз в Яндекс.
Он говорит что о воровстве писал/обращался в техподдержку неоднократно (и я знаю что это так, поскольку жаловался он мне на это воровство несколько лет) и что номера тикетов его обращениям присваивали. Всегда кончалось ничем. Яндекс не предпринимал никаких действий.
поэтому решили вынести все на публику, чтобы проблему с воровством водителей и заказов решить.
Он говорит что о воровстве писал/обращался в техподдержку неоднократно (и я знаю что это так, поскольку жаловался он мне на это воровство несколько лет) и что номера тикетов его обращениям присваивали. Всегда кончалось ничем. Яндекс не предпринимал никаких действий.
поэтому решили вынести все на публику, чтобы проблему с воровством водителей и заказов решить.
Это всё как-то не очень м… красиво/этично.
Плюс сейчас может статься, что воровство примет ещё большие масштабы. Дырка же утекла в паблик.
Плюс сейчас может статься, что воровство примет ещё большие масштабы. Дырка же утекла в паблик.
Не этично по отношению к кому? Любят люди все переворачивать. Неужели не видно кто плохой, а кто хороший? Убытки компаний этичностью не возместить.
Хороший, плохой, злой… Наш мiр далеко не чёрно-белый.
По отношению к разработчикам и другим пользователям.
В паблик такие штуки, мне кажется, сливаются когда или разработчики не реагируют на багрепорт, или с корыстной целью.
Не возместить. Но вполне можно сделать ещё хуже неэтичностью.
По отношению к разработчикам и другим пользователям.
В паблик такие штуки, мне кажется, сливаются когда или разработчики не реагируют на багрепорт, или с корыстной целью.
Не возместить. Но вполне можно сделать ещё хуже неэтичностью.
Если бы в статье описывалась какая-то уязвимость, то тут я с вами бы полностью согласился. Но то, что описано в статье — выходит за рамки.
А разве статья не про нахождение и эксплуатацию уязвимости, позволившей получить несанкционированный доступ к ПД и другой коммерческой информации?
Нет. Это данные практически в открытом доступе. Т.е. незащищенные совсем.
legal.yandex.ru/confidential
К примеру берем пункт. Который мне кажется нарушен.
6.1. Яндекс принимает необходимые и достаточные организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.
legal.yandex.ru/confidential
К примеру берем пункт. Который мне кажется нарушен.
6.1. Яндекс принимает необходимые и достаточные организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.
С пунктом 6.1 я и не спорил.
То, что дверь в квартиру забыли закрыть ещё не значит, что квартира в свободном доступе для всех желающих.
Да, Яндекс взял на себя обязанности держать данные в сохранности, да не получилось.
Я говорю лишь о том, что эти самые трети лица получили несанкционированный доступ к этой информации и совершили с ней акты копирования, распространения, а также иные неправомерные действия.
И это есть уязвимость сервиса.
То, что дверь в квартиру забыли закрыть ещё не значит, что квартира в свободном доступе для всех желающих.
Да, Яндекс взял на себя обязанности держать данные в сохранности, да не получилось.
Я говорю лишь о том, что эти самые трети лица получили несанкционированный доступ к этой информации и совершили с ней акты копирования, распространения, а также иные неправомерные действия.
И это есть уязвимость сервиса.
Любите аналогии? С открытой квартирой не подходит к этому. Ну вообще, если выйти из сказки, как раз это и значит, что для всех очень желающих она в открытом доступе. Да и в случае с квартирой, оставили открытой — ваши проблемы… пострадаете только вы. И кстати… После покупки квартиры (тут покупка сервиса) я первым делом сменю замок… а если и надо, то дверь.
Это наверно как поставить камеры в женской душевой фитнессцентра, а в бесплатном вайфае этого же центра стримить эти камеры на айпишнике 192.168.1.3 с вебмордой. Ну или поставить зеркала прозрачные с одной стороны, хотя тут злой умысел уже не скрыть. Будучи девушкой, говоришь на ресепшн: «Мне кажется, что за мной наблюдают через эти камеры, т.к. мои парни-друзья, что ходят со мной на фитнесс, постоянно хихикают и намекают недвусмысленно на то, что они видели тебя голой… и т.п.»… Так обращаешься несколько раз… всем насрать на твои жалобы. Обращаешься к другу-айтишнику, в кафешке рядом через этот же вайфай через 10 минут, вы уже смотрите на голые жирные туши.
Ваша реакция?
Это наверно как поставить камеры в женской душевой фитнессцентра, а в бесплатном вайфае этого же центра стримить эти камеры на айпишнике 192.168.1.3 с вебмордой. Ну или поставить зеркала прозрачные с одной стороны, хотя тут злой умысел уже не скрыть. Будучи девушкой, говоришь на ресепшн: «Мне кажется, что за мной наблюдают через эти камеры, т.к. мои парни-друзья, что ходят со мной на фитнесс, постоянно хихикают и намекают недвусмысленно на то, что они видели тебя голой… и т.п.»… Так обращаешься несколько раз… всем насрать на твои жалобы. Обращаешься к другу-айтишнику, в кафешке рядом через этот же вайфай через 10 минут, вы уже смотрите на голые жирные туши.
Ваша реакция?
А еще лучше, вы муж этой девушки, узнали об этом и сообщаете администратору, а тот никак не реагирует. Узнали не об айпишнике, а именно о том, что есть обоснованные опасения, что доступ к камерам есть у многих «желающих». А уже после нескольких попыток достучаться уже узнаете об айпишнике.
Вот я бы привлек правоохранительные органы.
Вот я бы привлек правоохранительные органы.
Вот я бы привлек правоохранительные органы.
и такой вариант тоже уместен. но не паблик же.
Ну с этим я лично согласен. Но я принимаю не только свою точку зрения. Люди бывают разные. Некоторые вот геи, некоторые не очень умные, другие слишком умные. И т.п. Один обратится в органы, другой набьет морду, третий может быть даже промолчит, а четвертый совершит такое, что вы даже представить себе не сможете. Реакция может быть совершенно разная. И это может выглядеть ненормальным с вашей точки зрения, но совершенно логичным с другой. Я к тому, что все приводит вот к таким вот ситуациям. На жалобы надо обращать внимание и даже как вы сказали ниже «параноидальные». Сразу отвечу тут на комментарий ниже. Совершено преступление, моя реакция однозначна и не подлежит пересмотру. За преступления надо отвечать, пусть даже это преступление сделано из глупости, глупость можно простить разве что ребенку. Еще раз повторю, реакция на преступление может быть разной, это надо учитывать, но в любом случае могут быть последствия и их надо учитывать. Пострадать может и сам пострадавший, как вы заметили ниже «Той девочке станет ещё хуже.» Да именно, станет еще хуже, но будучи в самом центре завязки всех этих ситуаций, а именно первопричиной всего этого, нужно делать все, чтобы избежать последствий. Тем более если носишь гордое имя, звучащее у всех а устах.
А Вы, кстати, не замечаете подмену ситуации?
Администратору высказываете параноидальные предположения, а в органы уже с доказательствами идёте.
Администратору высказываете параноидальные предположения, а в органы уже с доказательствами идёте.
Ну если с квартирой не так очевидно, пусть это будет дверь БЦ или какого-нибудь шаред склада.
В любом случае открытая дверь — проблема владельца этой двери. Вернее того, в чьей зоне ответственности она находилась.
конечно же сразу солью всё это в паблик, что бы все, кто ещё не успел посмотреть на девочек, смогли это сделать «/irony»
Таки считаю, что слив в паблик такого рода информации, что о дырке, что об открытом складе, что о девочках без предварительного информирования разработчиков увеличивает ущерб (моральный, репутационный, материальный) всех участников.
Той девочке станет ещё хуже.
В любом случае открытая дверь — проблема владельца этой двери. Вернее того, в чьей зоне ответственности она находилась.
Ваша реакция?
конечно же сразу солью всё это в паблик, что бы все, кто ещё не успел посмотреть на девочек, смогли это сделать «/irony»
Таки считаю, что слив в паблик такого рода информации, что о дырке, что об открытом складе, что о девочках без предварительного информирования разработчиков увеличивает ущерб (моральный, репутационный, материальный) всех участников.
Той девочке станет ещё хуже.
НЛО прилетело и опубликовало эту надпись здесь
В красках представляю себе ситуацию. Очень интересно во сколько был взломан аккаунт или сколько готов выплатить Яндекс за сворачивание дискуссии. Хотя могли и просто судом за несанкционированный доступ пригрозить. :) Белое хакерство начинает и получает по зубам от чёрного корпоративного сектора. :)
или сколько готов выплатить Яндекс за сворачивание дискуссии.
Кстати, давно думал вот о чем. Подобные статьи проскакивают на Хабре с постоянной периодичностью (ну, не на столько эпичный фейл как сейчас, конечно, и даже может в 100 раз «менее круто» — но тем не менее, суть сейчас не в степени ужасности). Так вот, почему бы, соблюдя все неофициальные правила и проинформировав вендора, дав ему 2 дня / 2 недели / 2 месяца /… на исправление уязвимости и НЕ дождавшись официального сообщения в блоге компании, о том что уязвимость закрыта и все возможные и невозможные действия по исправлению ситуации выполнены на самом высоком из возможных уровней (мечтаю об идеальной реакции) — кроме статьи на Хабре, которая кроме плюсов в карму и заслуженного уважения коллег по цеху, перейти к практическим действиям. Открыть лот на профильном сайте (например, 0day.guru (отношения к сайту не имею никакого) — пусть он и пустой пока, но он работает, анонимен, никаких регистраций, оплата всеми возможными способами, никаких комиссий и т.д.) — и выпожить там описание бага без тех.деталей, и влепить цену 10 000 USD. Аукцион позволяет не ждать окончания и сразу же сделать предложение, «от которого невозможно отказаться» — пусть Яндекс (или кто там плохо себя повел) и выкупает его в первые секунды за х2 от цены, лишь бы замять скандал. Для компании, купившей дырку от бублика за 1 миллиард рублей, 10к — песчинка, капля в море. Но это совсем не тоже самое, что альтруистическая статья на Хабре, раскрывающая все детали, описывающая от А до Я проблему — ладно что весь мир узнал, но проштрафившейся компании остается только лишь, как ниже сказано, запереть бригаду ответственных программистов на выходных в офисе — и к понедельнику все будет пофикшено. А так, в предлагаемом варианте, будет тоже самое (бо предлагаемый вариант с выкладываением бага на продажу не отменяет статью на Хабре) — разница лишь в том, что нашедший еще и положит десяточку в карман, и будет прав. И компания в следующий раз будет повнимательнее мониторить свой внешний баг-трекер.
Все IMHO. Те, кто подписан на e-mail рассылки типа bugtraq и подобных, знают, там внизу каждого CVE короткая справка — баг найден в день Х, в Х+1 проифнормирован вендор, вендор ответил в Х+2, в Х+10 баг проправлен, все могут скачать свежие пакеты / пересобраться с github и т.д., в день Х+11 данная рассылка инициирована. Вот так и должно быть.
Между прочим сегодня пятница, о лучшем подарке программисты и мечтать не могли, выходные и работа, что может быть лучше? Ведь каждый разработчик мечтает о том чтобы все переписать
Мне интересно как они будут переписывать андроид приложение.
Потому что именно в нем основные дыры и сосредоточены.
Потому что именно в нем основные дыры и сосредоточены.
Для этого не нужно переписывать андроид приложение. Дыры в сервере, а не в приложении. Приложение не может само получить то, что сервер не даст.
Что за школьники минусуют? Видно те же, что и пишут такие андроид приложения с дырами. Любой безопасник Вам объяснит, что все дыры связанные с работой апи лечатся и закрываются на сервере — других вариантов нет и быть не может.
Расскажите мне господа минусовальщики, где и как Вы можете нарисовать такие дыры в клиентском приложении, если апи Вам просто не отдаст данные без соответствующей авторизации и прав чтения конкретной информации?
Или можете даже статью написать, как чинить дыры в апи посредством исправления андроид приложения. Это будет крайне полезно для тех лиц, которые пользуются уязвимостями апи. Отлично же — приложение исправили, стадо успокоили, ответственных наградили. А дыра в апи как была так и осталась, все кто пользовался — также и будут продолжать пользоваться.
Расскажите мне господа минусовальщики, где и как Вы можете нарисовать такие дыры в клиентском приложении, если апи Вам просто не отдаст данные без соответствующей авторизации и прав чтения конкретной информации?
Или можете даже статью написать, как чинить дыры в апи посредством исправления андроид приложения. Это будет крайне полезно для тех лиц, которые пользуются уязвимостями апи. Отлично же — приложение исправили, стадо успокоили, ответственных наградили. А дыра в апи как была так и осталась, все кто пользовался — также и будут продолжать пользоваться.
Не минусовал, но тут проблема в том, что андроид-приложение однозначно потребуется переписывать. Иначе после закрытия дыр на сервере, через которые оно и работает, оно просто отвалится.
Многие совсем разучились читать или понимать, что читают. Я не говорил, что его не надо переписывать. Я довольно четко написал «для этого» — что в контексте комментария, на который я отвечал имелось ввиду «переписывание ДЛЯ закрытия дыр». Всем программистам стоит начинать с курса внимательности, понимательности и точности изъяснения.
И кстати еще не факт, что оно отвалится. Если оно хотя бы более менее грамотно построено, то оно перестанет получать часть данных, которые оно и так не отображало. Для примера там где приходил список всех, придет только список доступных для конкретного авторизованного пользователя.
Не потакайте школоте, и да не окажетесь среди них.
И кстати еще не факт, что оно отвалится. Если оно хотя бы более менее грамотно построено, то оно перестанет получать часть данных, которые оно и так не отображало. Для примера там где приходил список всех, придет только список доступных для конкретного авторизованного пользователя.
Не потакайте школоте, и да не окажетесь среди них.
Лично я понял вот этот абзац:
Соответственно, тогда «просто закрыть дыры» будет равносильно «просто закрыть сервис».
Взяв приложение «Таксометр» с андроид маркета мы быстро выяснили, что оно делает запросы по неавторизованным урлам. И первый неавторизованный http-запрос, который делает это приложение…как то, что приложение делает запросы до авторизации. Т.е., что оно делает запросы не идентифицируя себя, и, соответственно, проверить права доступа и ограничить список со стороны сервера — нельзя.
Соответственно, тогда «просто закрыть дыры» будет равносильно «просто закрыть сервис».
Если не знать контекста (а мы в данном случае не знаем) в котором делаются эти вызовы и для чего — мы не можем ответить на вопрос — как это повлияет на работу приложения.
Возможно, что никак. Представьте себе — такое тоже бывает, что делаются бессмысленные ни на что не влияющие вызовы. Да и чему удивляться после таких дыр в апи?
Давайте не делать необоснованных предположений. Мы же все таки программисты и мы пишем конкретные инструкции для программ, которые не зависят от предположений сторонних людей(если это не предусмотрено программой). В практически абсолютном большинстве мы даже рандом используем синтетический ))
Возможно, что никак. Представьте себе — такое тоже бывает, что делаются бессмысленные ни на что не влияющие вызовы. Да и чему удивляться после таких дыр в апи?
Давайте не делать необоснованных предположений. Мы же все таки программисты и мы пишем конкретные инструкции для программ, которые не зависят от предположений сторонних людей(если это не предусмотрено программой). В практически абсолютном большинстве мы даже рандом используем синтетический ))
НЛО прилетело и опубликовало эту надпись здесь
Так что, о таких уязвимостях лучше сообщать в понедельник, чтобы они висели еще целые выходные? Пофиксить немедленно!
НЛО прилетело и опубликовало эту надпись здесь
ACL. Не, не слашали. (или не слушали) Студенты.
Даже Лента написала.
Ха-ха, с апдейтом в начале поста всё стало в два раза интереснее
Честно говоря, от Яндекса такого не ожидал. Мне кажется, или использовать URL без авторизации в таком закрытом приложении — это какой-то дикий абсурд и очевидный баг?
А вообще на отмену заказа и последующее прибытие какой-то непонятной машины (без опозновательных знаков, с оплатой по договорённости без счётчика и т.п.) почувствовал на своей шкуре в Питере пару раз. Очень насторожило, как мог приехать на заказ убитый Лачетти лет 6ти от роду, когда у них требования — машины до 3х лет. Теперь уже понимаю в чём соль.
А вообще на отмену заказа и последующее прибытие какой-то непонятной машины (без опозновательных знаков, с оплатой по договорённости без счётчика и т.п.) почувствовал на своей шкуре в Питере пару раз. Очень насторожило, как мог приехать на заказ убитый Лачетти лет 6ти от роду, когда у них требования — машины до 3х лет. Теперь уже понимаю в чём соль.
>> Сегодня с удивлением узнал от коллег об этой записи. Выяснилось, что мой аккаунт взломали — представители Хабрахабра это подтвердили
В чём смысл использования взломанного аккаунта для публикации статьи?
Сообщать о дырах в Яндексе настолько опасно для жизни?
В чём смысл использования взломанного аккаунта для публикации статьи?
Сообщать о дырах в Яндексе настолько опасно для жизни?
Когда я работал в Яндексе — при всем уважении к компании — я время от времени обнаруживал баги, о которых старался незамедлительно сообщать ответственным лицам. Сначала я наивно сообщал только руководителю проекта, но заметил, что это очень неэффективно и вопрос, как правило, не решался.
Тогда оказалось, что если в список сообщаемых лиц добавлять сразу несколько человек — ответственному лицу, его начальнику, еще нескольким людям — начинается переписка, обсуждение, и вопрос уже не так просто задвинуть в долгий ящик.
Но и это оказалось не так эффективно — машина сопротивляется и не хочет сворачивать с намеченного пути. Вместо того, чтобы решать проблему на уровне выше, чем возникла сама проблема, фиксятся частные случаи. Например, вот три тикета с одним и тем же источником проблемы. Вместо решения источника проблемы, фиксятся записи БД только для этих трех конкретных случаев.
Для того, чтобы проблема решилась по-настоящему, я обнаружил, что надо самостоятельно провести исследование, посмотреть, например, сколько случаев из всех возможных эта проблема затрагивает, нарисовать графики, диаграммы Вороного и т.д. После этого весь этот материал сообщить нескольким людям и смотреть, как проблема решается.
Вероятно, что настоящий автор статьи работает в Яндексе, но не смог достучаться до нужных людей, устал от отмазок и частных фиксов, потому и придумал этот весьма эффективный способ!
Тогда оказалось, что если в список сообщаемых лиц добавлять сразу несколько человек — ответственному лицу, его начальнику, еще нескольким людям — начинается переписка, обсуждение, и вопрос уже не так просто задвинуть в долгий ящик.
Но и это оказалось не так эффективно — машина сопротивляется и не хочет сворачивать с намеченного пути. Вместо того, чтобы решать проблему на уровне выше, чем возникла сама проблема, фиксятся частные случаи. Например, вот три тикета с одним и тем же источником проблемы. Вместо решения источника проблемы, фиксятся записи БД только для этих трех конкретных случаев.
Для того, чтобы проблема решилась по-настоящему, я обнаружил, что надо самостоятельно провести исследование, посмотреть, например, сколько случаев из всех возможных эта проблема затрагивает, нарисовать графики, диаграммы Вороного и т.д. После этого весь этот материал сообщить нескольким людям и смотреть, как проблема решается.
Вероятно, что настоящий автор статьи работает в Яндексе, но не смог достучаться до нужных людей, устал от отмазок и частных фиксов, потому и придумал этот весьма эффективный способ!
Сотрудник Яндекса взломал аккаунт сотрудника Байды, чтобы написать о баге Яндекса, а затем чутка пропиарить Байду. Байда какая то получается.
И, пользуясь случаем, хочу напомнить, что у нас в Badoo уже несколько лет идет программа «Проверь Badoo на прочность» и мы платим за найденные уязвимости.
А еще у нас открыто много вакансий в Москве и Лондоне!
а диаграммы вороного, чисто потому что, во-первых, это красиво?
История про взлом аккаунта выглядит сомнительно.
Во-первых, взлом — это чистой воды уголовное преступление как в России, так и за рубежом. Последствия могут быть намного более печальными, чем от чьего-то недовольства статьей.
Во-вторых, если целью взлома была анонимизация, для этого есть менее незаконные и фатальные способы.
Приписка про взлом могла появиться по нескольким причинам:
Во-первых, взлом — это чистой воды уголовное преступление как в России, так и за рубежом. Последствия могут быть намного более печальными, чем от чьего-то недовольства статьей.
Во-вторых, если целью взлома была анонимизация, для этого есть менее незаконные и фатальные способы.
Приписка про взлом могла появиться по нескольким причинам:
- автору «позвонили» Очень Серьезные Люди и выразили свою крайнюю степень неудовольствия. Понятная человеческая реакция — «это не я»;
- автор недооценил степень позорности описанного для яндекса и, не дожидаясь звонка из предыдущего пункта, решил подстелить соломы;
- cтатья была размещена владельцем аккаунта по-дружески, чтобы анонимизировать некоего инсайдера. После публикации что-то изменилось и публикация была преподнесена как взлом;
- смысл сообщения о взломе — в увеличении внимания к предмету обсуждения и в промо-приписке от Badoo в начале статьи.
При обнаружении уязвимости следует сообщить владельцу ресурса, а не трезвонить в интернете. Опубликовать статью об этом можно будет тогда, когда разработчики сообщат о том, что они все пофиксили. Если же вендор проигнорировал сообщение об уязвимости, то сначала его следует уведомить о своем намерении опубликовать информацию о дыре, и только потом можно писать. Именно такое поведение отличает специалиста по информационной безопасности от хакера-хулигана.
Кто-то роет под яндекс.
«Иван, ну да, ты (как ты говоришь) не специалист по безопасности, но посмотри, как могут у меня воровать водителей? Ты же IT-шник, в конце концов!».
Просто айтишник и угон чужого акка на хабре? Нестыковочка)
Как мне сообщил один высококлассный программист, который раньше работал в Яндексе, за последние 3 года уменьшается спрос на контекстную рекламу. Это просто падение всего рынка. Контекстная реклама занимает более половины всей выручки поисковых компаний. То есть, говоря по-простому "пирог скукоживается".
И это на фоне резкого увеличения штата Яндекса (про Google не в курсе).
По этой причине я убежден, что кто-то кого-то выдавит из отечественного рынка.
Разумеется не совсем… Просто у проигравшего будет место у параши…
Да, это грустно… Но таковы реалии…
И это на фоне резкого увеличения штата Яндекса (про Google не в курсе).
По этой причине я убежден, что кто-то кого-то выдавит из отечественного рынка.
Разумеется не совсем… Просто у проигравшего будет место у параши…
Да, это грустно… Но таковы реалии…
Настало время удивительных историй от «бывших» сотрудников Яндекса? :)
shaman3D, за что купил, за то и продаю.
Я в Яндексе не работал и не работаю. Но своим друзьям верю. Особенно если они компетентны.
Никакой удивительной истории я не рассказал.
Сказал две вещи: 1) рынок контекстной рекламы падает 2) штат Яндекса раздувается. «Яндекс уже не тот.» (не моя цитата)
Я хочу докопаться до истины. Пока один «очный» друг и трое «заочных» знакомых из Яндекса говорили так же…
Возможно у меня некомпетентная выборка.
Если вы — сотрудник Яндекса, я с радостью послушаю вашу точку зрения.
Я в Яндексе не работал и не работаю. Но своим друзьям верю. Особенно если они компетентны.
Никакой удивительной истории я не рассказал.
Сказал две вещи: 1) рынок контекстной рекламы падает 2) штат Яндекса раздувается. «Яндекс уже не тот.» (не моя цитата)
Я хочу докопаться до истины. Пока один «очный» друг и трое «заочных» знакомых из Яндекса говорили так же…
Возможно у меня некомпетентная выборка.
Если вы — сотрудник Яндекса, я с радостью послушаю вашу точку зрения.
у нас в Badoo уже несколько лет идет программа «Проверь Badoo на прочность» и мы платим за найденные уязвимостиПодобравшему пароль к учётке TS'а уже выплатили?
мне интересно, проведет ли прокуратура проверку по факту вольного обращения с персональными данными?
полагаю, успешное завершение такой проверки будет стоить яндексу еще миллиард.
очевидно, что выгоднее произвести аудит, переписать код.
почему-то у нас только судебный иск расширяет зрачки у компаний, ну да спишем на национальные особенности.
полагаю, успешное завершение такой проверки будет стоить яндексу еще миллиард.
очевидно, что выгоднее произвести аудит, переписать код.
почему-то у нас только судебный иск расширяет зрачки у компаний, ну да спишем на национальные особенности.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Расследование одного взлома или как быстро и просто потратить миллиард