«Ситимобил» допускает слежку за своими клиентами

Инженер Сергей Крупник нашёл уязвимость в приложении «Ситимобил». В компании её подтвердили и пригласили Сергея в штат.

Вчера инженер Сергей Крупник опубликовал на платформе vc.ru своё исследование приложения «Ситимобил», в котором он раскрыл уязвимость клиентских данных этого такси-сервиса. Сергею удалось написать алгоритм, который собирает информацию обо всех таксистах «Ситимобила», работающих в Москве и Подмосковье. В итоге он получил доступ к данным о числе таксистов на линии (в том числе в динамике) их местонахождении, маршруте передвижения и местах, где концентрация водителей сервиса наиболее высока.

Сергей отмечает, что полученные данные могут иметь большую ценность для компаний-конкурентов. Так, они позволяют оценить долю рынка и доходность компании «Ситимобил», а также использовать их для ценообразования. Однако для клиентов такая открытость данных вряд ли станет полезной — воспользовавшись ими, можно узнать куда уехал человек на «Ситимобиле» (если есть информация о том, где он сел в такси).

Буквально через 5 часов после публикации исследования представитель «Ситимобила» ответил Сергею в комментариях. Директор по связям с общественностью сервиса Георгий Лобушкин призвал автора статьи предоставить компании все детали найденных дефектов. Лобушкин отметил, что по условиям программы Bug Bounty (программа выплата награды за обнаружение проблем в безопасности сервисов и приложений компании) компания не может выплатить Сергею вознаграждение за выявление «багов» приложения, потому что информация о них была открыто опубликована. Однако команда такси-сервиса готова предложить ему присоединиться к инженерной команде «Ситимобил».

Понравилась ли Вам статья?