Предисловие
Hello, team! Возможно, столь завуалированное название статьи Вас заинтересовало, и вы решили прочитать ее во что бы то ни стало, дабы понять суть. Но на деле все куда проще, а остроты данной ситуации подбавляют лишь комические реплики службы поддержки Яндекс (далее - ЯД), которая красиво "отшила" мой баг-репорт.
Когда я оставил заявку на bugbounty, я и не надеялся получить быстрый ответ. Я заранее загуглил отзывы некоторых пентестеров, которые были крайне недовольны системой поощрения программы ЯД. Но, к моему удивлению, баг закрыли через пару дней, а затем я пустился во все тяжкие в полемику с рыцарем службы поддержки ЯД.
История
Один мой друг из северного городка часто передвигался из пункта А в пункт Б, а иногда даже и в С, и в Д и тд. Пользовался он, конечно же, Яндекс Go. Быстро, удобно, дорого! Последнее было не кстати, так как поездок было действительно много и на дальние расстояния. Но сама система, как вы знаете, считает стоимость поездки от многих факторов (время, загруженность, погода и тд). Таким образом, в ночное время можно было совершить поездку за 100-120 рублей, когда в 8:00 утра цена могла достигать 500 рублей. А что если сделать заказ в 8 утра с тарифом на 4 часа ранее? Можно! Но нет - мы не будем изобретать машину времени, прыгать в черную дыру или умолять ЯД сделать нам скидку. Ленивые программисты все сделали за нас! Они просто забыли дописать функцию перерасчета.
Баг
Так в чем же заключается сам баг? Возможно, что это не совсем баг, а что-то типа фитчи - думал я... Но если углубиться в детали, то это действительно ошибка. Выбрав нужный маршрут в то время, когда стоимость будет минимальной, мы не подтверждаем заказ, а просто оставляем приложение открытым. В тот момент, когда нам нужно будет отправляться в путь, подтверждаем заказ и вуаля! Странно, что сессия хранится так долго, а само приложение не делает перерасчет, но у Яндекса есть коронный ответ на этот вопрос...
Взгляните на карту ниже. Это маршрут, по которому был сделан заказ в 8:00. В самый час-пик, расстояние почти через весь город. Как думаете, какова цена? Ответ ниже.
Видели бы вы лицо бедного таксиста :(
Экономия была огромной, а в больших городах вас бы наверное даже не повезли. Приведу еще один пример - экономии между заказами в разное время.
Перерасчет в данном случае был сделан специально, дабы увидеть разницу в цене, но никто не мешал уехать в 7:04 по стоимости в 155 рублей.
Кульминация
Баг найден, репорт успешно составлен и отправлен в службу поддержки ЯД. Проверяем еще раз "халявную поездку" через пару дней и видим примитивное окно ошибки, которое было написано на скорую руку.
Вот молодцы! Исправили оперативно, теперь напишем в поддержку. К удивлению, но специалист СБ быстро вышел на связь. Завязался небольшой диалог, где были предоставлены все доказательства. Все бы ничего, но произошел троллинг...
Подобных моментов везения было очень много. Мои друзья самые везучие люди, а Василий отправил меня дальше искать удачу на своем пути, и я надеюсь, что везение где-то близко...
Комментарии (59)
Schakal
10.09.2022 14:15+11А сообщать-то зачем было? Ради мелкой подачки себе - лишить удобной фичи огромное количество человек. Негуманно.
shark14
10.09.2022 14:22+57Если бы это удовольствие было бы за счет Яндекса, еще можно было бы понять. Но в огромном убытке оказываются водители (с учетом утренних пробок за бесплатно придется работать), а Яндекс и тут возьмет свою комиссию.
Schakal
10.09.2022 14:27Думаю, если бы водителей это сильно напрягало, они бы сообщили в Яндекс годы назад.
pyrk2142
10.09.2022 14:51+30Вы очень высоко оцениваете желание сотрудников Яндекса обращать внимание на сообщения водителей :(
Drad
10.09.2022 15:54Я не уверен, что там видна разница, между поехал по купону и этим багом. С учётом, что ещё попадаешь на разных водителей в больших городах.
Krypt
10.09.2022 19:09+1Не знаю, регулярно езжу на такси через приложение Яндекса, и регулярно мне на него жалуются, и на поддержку, и на глюки, и на нежелание поддержки разбираться с глюками.
Кто-то даже говорил, что к нему прилетали поездки с неадекватными ценами (~150 рулей за межгород 50+ км, насколько я понял).
Жаловались на заказы, прилетающие в нерабочее время, жаловались на заказы, штрафы от яндекса за непринятее заказа в момент, когда не было соединения с сетью.
Однажды прямо при мне, пока он вёз меня, водителю прилетел заказ другой заказ к выполнению от Яндекса.
В общем при *таком* количестве проблем я ни разу не удивлён, что водители могут просто забить на репорт.
BoreaAlex
11.09.2022 12:11+2Заказы во время поездки - это норма, если водитель в скором времени закончит поездку. При этом у пассажира такой заказ отображается как "водитель скоро закончит поездку и поедет к вам". Правда, с этим методом есть подводные камни - когда при окончании прошлой поездки есть проблемы с оплатой.
Alexander_The_Great
11.09.2022 01:47+5Друзья его, наверное, поблагодприли.
P. S.: На самом деле, генерация цены в яндексе вызывает много бурлений. Но все компетентные органы, разумеется, в нужный момент смотрят в другую сторону.
BatonSabaton
13.09.2022 10:51То есть по отношению к таксисту, который больше потратит на бензин это гуманно?)
Popadanec
10.09.2022 15:14+3У них и с интерфейсом какой то обратный отбор. С каждым разом интерфейс почты всё хуже и хуже. Кучу отзывов понаписал, но как в воду канули.
Почему яндекс почта? С гугл некоторые контрагенты плохо работают, иногда криво работает переадресация(на российские домены и наоборот). Свой почтовый домен, тоже имеет проблемы. Часть писем просто теряется. Рамблер/маил, ну такое.Schakal
10.09.2022 15:19+12А зачем пользоваться их интерфейсом, если есть нормальные почтовые клиенты? Веб-интерфейс - это на крайний случай, когда больше ничего нет.
AlexanderS
11.09.2022 12:25Используйте портабельный Mozilla Thunderbird или The Bat Voyager и забудьте о постоянных изменениях в веб-интерфейсе)
BoreaAlex
10.09.2022 18:50+3Бывало несколько раз, что сходишь с электрички, заранее открыв приложение, и по старой цене такси просто не находится, ищет 5 минут и пишет "нет доступных машин", после чего показывает уже новую цену, с учетом того что куча народу приехало и все вызывают
space2pacman
10.09.2022 19:14Можно ли в приложени заказать такси к определенной дате? Что тогда с ценой?
Krypt
10.09.2022 19:17+4Нельзя. Только прямо сейчас или через 10 минут. Для меня, как для регулярного клиента, это самый главный минус.
Потому что не факт, что в то время, когда мне нужно будет ехать, будут доступные машины. (в таком случае Яндекс пытается привести машину из соседнего города, увеличивая цену и ставя время прибытия 30+ минут, мне же быстрее на обзественном транспорте добраться).
cofein51
10.09.2022 21:37+1Я иногда ночью на поезд еду, и 99.9% машин нет, но за 1000р есть...
А ещё меня прикалывает ехать из пригорода...
30км в деревню где живёт 3 человека- 500р.
30км из деревни где живёт 3 человека -1500р....
mk2
10.09.2022 22:02+2Из деревни есть риск, что ты передумаешь ехать, пока к тебе едет машина, и водитель получается прокатится бесплатно.
ganzmavag
11.09.2022 14:09Логика максимально простая. В деревню вы платите только за путь туда, из деревни - за подачу в деревню и за сам путь. Это, кстати, по мне недоработка, у нас так вечером на окраину бывает сложно уехать. Потому что водитель знает, что обратно поедет пустым, а агрегатор это не учитывает.
s_f1
10.09.2022 19:55-7Я, мягко говоря, о@#$%^& от цен на такси в Сургуте. 6 км за 500 рублей? Зарплаты-то хоть московские там?
ne555
11.09.2022 07:40+11Город занимает 3-е место в рейтинге городов, вносящих наибольший вклад в ВВП России, уступая лишь Москве и Санкт-Петербургу. В 2019 году занял 3-е место в списке богатейших городов России, опережая Санкт-Петербург. В 2021 году Сургут занял 10-е место в рейтинге самых быстрорастущих городов Европы
Источник Wikipedia.
16bc
10.09.2022 21:17+2Это был не баг, а фича! Спасибо тебе, теперь видимо придётся переплачивать. И водители от этого богаче точно не станут, как тут некоторые считают. А если хотите пожалеть водителей - платите всегда налом, им это существенно выгоднее.
Я как-то даже анализировал стоимость поездки по маршруту работа-дом каждые 5 минут в течении суток, вычислял медианные значения за последний месяц и выводил в виде графика, где было наглядно видно в какое время выгоднее недорого уехать с работы. Удивительно, но стоимость может в одно и то же время быть одной, а через 5 минут в 4 раза больше, а через 5 минут обратно. И это в одно и то же конкретное время каждый день! Что плохого в том, чтобы знать и пользоваться этой информацией?
Ключ к API, кстати, выдаёт сам яндекс, если просто попросить, в т.ч. рассказав о данной цели.
Krypt
11.09.2022 01:21+1Да ладно, 5 минут. Я тут счёлкал переключателем «подать через 10 минут» и наблюдал, как цена прыгала в районе между 450 и 700 рублями (с положеним переключателя кореляции не было)
BigD
11.09.2022 09:18Почему налом выгоднее?
16bc
11.09.2022 10:06Спросите у таксистов, они расскажут.
ganzmavag
11.09.2022 14:04+1Мне говорили обратное: что нал очень геморройный. Регулярно то требуют искать сдачу с больших купюр, то в конце поездки вдруг говорят, что нал в их понимании - перевод на карту. И если раньше было много таксистов, которые выключали безнал, то теперь много тех, кто отключает нал.
Поэтому присоединюсь все-таки к вопросу. Чем нал выгоднее? Кроме того, что отсрочки нет и он сразу в кармане. В голову только приходят схемы со сбросом поездки и оплаты "мимо Яндекса", но так долго делать не получится.16bc
11.09.2022 16:00Сейчас уже не помню, но что-то было связано то ли с налогом, то ли с комиссией, которые яндекс удерживает, то ли с бонусами за короткие поездки... Подробности не запомнил, запомнил только что нал им выгоднее. Ещё при смене способа оплаты во время поездки какой-то нюанс для них был. На ваш вариант и ещё некоторые тоже натыкался. Конечно же речь о матерых таксистах, которые там все читы знают, а не о тех для кого нормально не иметь размен, работая в такси.
ganzmavag
11.09.2022 16:19А вы реально знаете много таксистов, у которых с утра всегда есть 4900 для сдачи в любой ситуации? Я думаю это единицы, и дело не в матерости.
ainoneko
11.09.2022 18:19+1В приложении другого агрегатора (которого Яндекс сожрал) можно было указать "Нужна будет сдача с N рублей". В Яндексе до этого не дошли? (Или А-Б тестирование его зарезало?)
В последнее время пользуюсь я-такси через браузер с телефона.
Их приложение ставил на предыдущий телефон -- так оно каждую минуту ломилось на их сайт (по данным фаерволла). На новый ставить не стал.ganzmavag
11.09.2022 18:23Возможно такая и есть, давно не платил наличными. Но пассажиры, которые будут пользоваться этой настройкой, и пятитысячную утром тоже не принесут. Это отдельная категория.
ainoneko
11.09.2022 18:23Этот анализ одновременно повышал цену из-за "повышенного спроса"?
16bc
12.09.2022 01:52Нет, повышенный спрос - это реальные заявки на поиск авто (+место+ время+погода...) а тут просто оценка поездки, ни на что не влияющая. Повышенный спрос вроде как включен в цену уже. Во всяком случае раньше так было.
ganzmavag
11.09.2022 01:10Так вот оно что. Я как-то сталкивался с этой плашкой, что цена изменилась, удивился. Потому что там за какое-то короткое время заказ сбросился, выглядело как баг. Оформляешь заказ спокойно, и тут раз и тебе пишут, что нет, давай заново, мы передумали, будет дороже. Видимо сначала не продумали таймаут.
DarkWolf13
11.09.2022 02:24+2....подача машины, которая еще заканчивает заказ и не факт что она ко мне приедет.......в результате я опаздываю...да дешевле и быстрее получается просто на обществпенном транспорте, чем играть в лотерею насколько в этот раз подставят.....извинения от тех поддержки мне без разницы- яндекс берет деньги так и пусть в случае подстав и платят за свои ошибки...изменения за доставленные неудобства - это как глумление мы тебя с опоздание по тройному тарифу везем так что умойся ....и местами сервис уже практически монополист и отношение такое же...
ne555
11.09.2022 07:24+3IMHO, автор пытается провести аудиторию Хабра без явных пруфов.
Чтобы подтвердить баг о живучести "дешевой сессии", к его скриншоту с поездкой за 126р в час-пик не хватает скриншота "время заказа такси по той же цене".
Автор пишет:
через пару дней и видим примитивное окно ошибки, которое было написано на скорую руку.
А из этого user-коммента следует, что примитивное окно давно было написано Яндексом (и сам Яндекс ответил, что инфа устаревшая).
К удивлению, но специалист СБ быстро вышел на связь
Репортил несколько уязвимостей в Яндекс, и СБ всегда оперативно выходила на связь. Там не TG там отвечают пользователям.
ganzmavag
11.09.2022 09:38Всё-таки уточню, раз ссылка на мой коммент. Там речь о совсем недавних событиях, недели две-три назад, примерно. До этого не видел такого окошка.
molodoy_hacker Автор
11.09.2022 11:09-1Да конечно, сто процентов, что окошко появилось в начале сентября. Я весь август заказывал так такси со своими друзьями. Ничего не было
infolex
11.09.2022 09:31+4Я тебя за Перекресток простить не могу уже лет 5, спасибо еще и за такси, мил человек. А почему ты не отправишь багрепорт, как вы с нескольких мобил создаете искусственный "высокий спрос", когда в 4 утра за 3 км в пустом городе яндекс просит 600р? Или когда вы создаете искусственную пробку в артерии, которая соединяет 2 части города, и яндекс ведет в обход и цена взлетает в космос, потому что так якобы быстрее, а вы тупо проскакиваете по пустому мосту? Вы жадный лицемер.
molodoy_hacker Автор
11.09.2022 16:33+5Ппц, ты реально?) Боже, какой позор) Ты один из тех, кто хочет халявы, но твоя мама может работать в перекрестке или таксистом в яндекс. Интересно было бы посмотреть на твою реакцию)
Ппц, сколько же халявников ставят тебе плюсы. Я буду всю оставшуюся свою жизнь искать баги и опубликовывать ихinfolex
11.09.2022 16:50Да, я реально, и не из-за халявы. Ты своим комментарием подтвердил, что твоя правда работает в одну сторону. И я уверен на 100% что как таксист ты не опубликуешь ни одного бага, который будет работать в пользу клиента, но в убыток тебе как водителю. Или же баг в пользу перекрестка, но в убыток твоей мамы как кассира
molodoy_hacker Автор
11.09.2022 17:03Я ни копейки не получаю за то, что публикую. Ты не понял до сих пор? Я борюсь против таких халвяников как ты, которые разрушают экономику
16bc
12.09.2022 01:27+2Думаю, всем безумно интересно узнать чья экономика и каким именно образом разрушается в данном случае? Стоило это даже добавить в послесловие статьи, чтобы не возникало вопросов.
desole
12.09.2022 16:02+2Живу в небольшом городке, цена поездки в среднем 80-130₽, в позднее ночное время бывает необходимость заказать такси, в 2х км от центра города, но таксисты не промах, всегда собирается их порядка +-5 человек в одном месте возле "злачных" заведений, делаешь заказ, его дружно не принимают, останавливаешь поиск-снова хочешь заказать , ценник уже 180, если примут, то хорошо, если нет, после попытки ещё один раз найти свободные машины цена поездки уходит за 300₽ , и тут сразу же находиться желающий проехать 2.7 км и взять заказ.
Dime_n_u
13.09.2022 02:06Ммм, крутатенюшка, буду искать мануал как работать с api яндекса и мониторить цены
Dekmabot
Этому багу несколько лет, и он был очень удобным)
qtask
Но не водителям, которые даже звонить в поддержку яндекса не хотят, так как их оттуда сразу отфутболивают.
В сухом остатке, кто-то сэкономит на поездке, а водитель поработает "забесплатно".
Считаю, что если увидел такой баг - нужно сразу сообщать и добиваться устранения, так как деньги теряет в первую очередь не корпорация, а простой работяга.