Неизвестные хакеры очередной раз произвели атаку на Яндекс.Такси. В этот раз суть атаки заключается в следующем: пассажир садится в такси и в процессе поездки заказ, который сделал пассажир, завершается, а с банковской карты пассажира списывается сумма 1000-3000 руб.
Атаки производятся на протяжении последних 3-8 недель. Большинство атак пришлось на заказы выполняемые компаниями Формула-такси, Nexi и 2412. Сумма нанесенного ущерба оценивается.
Если Вы оказались или окажетесь жертвой подобной атаки, то позвоните в Службу Поддержки Яндекс.Такси.
Яндекс.Такси частично разобрался в проблеме, однако полностью диагностировать уязвимость пока не удалось.
В ближайшее время планируется несколько ходов которые возможно устранят эту проблему. В частности с 04 апреля вводится двухфакторная (телефон + пароль) авторизация водителя.
Внесение данных изменений требует времени, поэтому пользователям сервиса рекомендуется на некоторое время воздержаться от использования банковских карт для оплаты поездок.
Если необходимо оплачивать поездку банковской картой воспользуйтесь Uber или Gett.
PS: Необходимо отметить, что подверженность сервиса Яндекс.Такси различным уязвимостям к хакерским атакам отмечали многие пользователи. Здесь на хабре была статья об утечке персональных данных более чем 15 тыс клиентов через дыру в безопасности.
Так же были статьи о взломе Яндекс.Такси самими таксистами — раз сервис ведет себя по хамски то мне чего стесняться? и многие другие, однако Яндекс не придавал большого значения всем этим сигналам и не занимался вопросами безопасности.
Комментарии (15)
DarkByte
04.04.2016 16:29+23Краткое содержание и без этого столь краткой статьи: Неизвестные хакеры неизвестным образом атаковали Яндекс.Такси. Яндекс.Такси о проблеме неизвестно, но они уже бросили все силы на исправление проблемы неизвестно каким образом, и кроме того неизвестно, получится ли у них вообще устранить проблему. Пользуйтесь Uber или Gett вместо Яндекс.Такси.
Извините конечно, но вы точно сайтом не ошиблись, когда публиковали пост?
TimsTims
04.04.2016 17:25+6+1. А еще очень порадовало:
> пользователям сервиса рекомендуется на некоторое время воздержаться от использования банковских карт для оплаты поездок
А ничего, что оплачивать яндекс.такси можно только картой? И её даже доставать из кошелька не надо, т.к. она уже привязана.
Очень похоже на какую-то заказную статью. Хотя и заказом как-то не пахнет, это его первая и единственная статья у автора, а уже такая желтушная…
И вообще странно — он приглашен более 1 года назад, 0 статей(это нормально), 0 комментариев, и 0(!) избранного. Он просто зарегался здесь просто-так, чтобы если что скинуть желтухи на хабр.
Sild
04.04.2016 20:25> А ничего, что оплачивать яндекс.такси можно только картой?
Ну что вы такое говорите, позавчера наличкой оплатил — полёт нормальный, за мной не выехали.
helper2424
04.04.2016 20:12Забавно, но информацию о том, что Яндекс Такси взломали неизвестные хакеры, могут изначально знать только две стороны: либо сотрудники службы безопасности Яндекс Такси, либо те хакеры, которые ломали. Интересно к какой стороне относится PersonalHabr ?
Bo0oM
Какие? Насколько я знаю, автор (таксист) наврал о "взломе".
Правда? Откуда информация?
Loki3000
А откуда вы это знаете? Где-то публиковалось опровержение или просто яндекс сказал что этого не может быть?
Bo0oM
Коротко — нет пруфов.
Судя по описанию, уязвимость тривиальна — подделка текущих координат водителя (чтобы первее взять заказ), но есть одно НО, система это быстро спалит и забанит. У чувака был низкий рейтинг в Ятакси (о чём он и ноет), он без пруфов сказал, что он декомпельнул клиентскую часть, что-изменил, и стал супер-крутым.
Ну не работает оно так)))
Никто не разбирается, никто ничего не проверил, а СМИ раздули.
А с учётом того, что яндекс платит за уязвимости, различные специалисты занимаются поиском онных, как-то все подозрительно попахивает враньём.
Возможно, конечно, я не прав, а таксист оказался крутым, нашёл какие-нибудь секретные методы обращения к API в коде мобильного приложения, которые незаметили другие хакеры, как-то это начал использовать. Но я лично сомневаюсь :)
Loki3000
Ну у публикации на хабре тоже источник был весьма пресомнительный:) Правда, там определенно побольше и технических деталей и данных.
После того, что было опубликовано на хабре, я уже ничему не удивлюсь:)
DarkByte
В посте про утечку данных хотя бы скриншоты были с данными, хотя странным показалось то, что сотрудники яндекса спросили в комментариях номер обращения (или любую другую информацию для идентификации) в их тех поддержку, а автор в ответ промолчал. Интересно, а в этот раз тоже обращение не смогут найти?
Loki3000
Ну там вообще детективная история: учётку хабрапользователя взломали и от его имени опубликовали пост (во всяком случае так гласит официальная версия). Так что владелец учётки на этот вопрос не мог ответить в принципе, а автор статьи вряд ли бы стал это делать по понятным причинам. Тем не менее, яндекс "что-то там закрывал", если верить комментариям.
DarkByte
Действительно, момент со взломом аккаунта я как то уже и забыл. Забавно что пользователь PersonalHabr получил инвайт чуть больше года назад от pronskiy, но никакой активности до сегодняшнего дня не проявлял. Опять взломали?
Loki3000
Не, ради подобного ломать вряд ли стоило:)
Тут, пожалуй, вина самого яндекса: чем дольше они будут щелкать клювом, тем дальше эта новость расползется по сети, обрастая подробностями.
Если бы кто-то из яндекса появился тут и сказал "все брехня, никаких жалоб не было", то и обсуждать бы стало нечего.