Что-то мне эта статья (в сочетании с профессией автора) напомнила историю про собеседование идеального тестировщика.
У меня примерно так и получилось с моим последним сотрудничеством на одну крупную фирму. После репорта о критической уязвимости, они очень охотно присылают теперь предложения протестировать то или иное приложение.
Судя по скриншоту, Белка кар? Один из лидеров рынка.

Что же творится у менее крупных каршерингов, которых нынче в Москве уже более 10 штук…
«Штирлиц как никогда был близок к провалу» ;)
На самом деле я бегло пробежался по нескольким из них. А то мало ли беду навлеку. Одни товарищи даже были уведомлены о неосторожной работе с данными. Но последствий после моего сообщения не последовало, к сожалению… :(
А что за каршеринг, который не ответил? Я почти во всех зарегистрирован, хотелось бы понять, какой из них для меня опасен :)
Можно в ЛС.
Я абсолютно все не смотрел. Так что за все не ручаюсь. Серьезного для пользователей там ничего не было. А вот для самого каршеринга опасность есть. Но они решили что поживут видимо с этим.
Всю эту ситуацию надо воспринимать как напоминание о том что никто не в безопасности. Завтра найдут зеродэй и даже те кто были в безопасности перестанут там находится. Я склонен пользоваться подобными вещами с осторожностью. И не привязывать карты на которых внушительные суммы могут быть. Для интернета у меня всегда отдельная карта.
Красивая и поучительная, почти детективная история. Респект автору.
Спасибо!
Читая такие истории, я думаю о том, как хорошо что я программист и знаю как сильно говнокодят такие системы и забивают на безопасность.
Вернее конечно не забивают, когда проект вырос и стал огромный, даже стараются что-то сделать. Но до того как он вырастет там такое накодят и потом оставят, что страшно.

Поэтому не ввожу данные карт и стараюсь использовать всякие сервисы по минимуму.
Насмотрелся я на кухню этих Федеральных компаний изнутри. Снаружи конфетка, а внутри такие же говнокодеры как и везде)

Как-то был на собеседовании в подпроект для Госуслуг(ДЛЯ ГОСУСЛУГ!!!), где используются соответственно все данные.
Цитирую слова нанимателя «Проект работает, но нужно дорабатывать и рефакторить код. Код конечно там очень легаси, проект начинали писать 7 лет назад, но потом он перерос в данный. и уже 2 года работает как часть госуслуг. Нам туда очень нужен человек и ближайшие пол года вы будете там работать один.»
Тоесть не зная меня, и что я могу натворить с безопасностью, как минимум, меня на пол года хотели поставить на работающий проект где происходить обработка таких данных:)

Ну нафиг веб сервисы))
А я так надеялся, что все закончится массовым бибиканьем :(
Вроде бы мы с этой компанией договорились посмотреть их сервисы по подробнее. Так что может удасться еще по бибикать :)
а можно поподробнее, каким образом подбор был реализован. Разве трафик между клиентом и сервером не зашифрован?
В этом плане все там окей. MITM в чистом виде реализовать не получится. Но мне никто руки не держал, и я на свой телефон смог поставить сертификат и проснифить трафик через свой проксик. Ну а дальше нужный запрос на отправку пароля был просто реализован через брутфорс.
Спасибо, статья получилась интересной) У самого есть аккаунт в belkacar
Я так понял, посигналить всеми машинами вы не попытались?
пока нет) но все впереди.
А я думал, чего вчера белкина машина стояла аварийкой в ночи мигала…
Пошел удалился из каршеринга…
не нужно поспешных решений принимать. используйте просто отдельную карту для «интернетов» и вероятно все будет хорошо.
youtu.be/KopWe2ZpVQI
Посмотрев это вы же не перестанете пользоваться банками?
А как я буду доказывать, что я не ехал на машине и не бросил ее где-нить у стен Кремля? :)

Или хуже, не сбил на ней кого-то.

Люди адекватно отреагировали на ситуацию. Без возражений приняли во внимание все проблемы, которые я обнаружил. И приступили к исправлению. Через 1-2 недели проблемы были устранены.

Да, действительно, адекватные. Потому что читал о многих случаях, когда в аналогичных ситуациях на тех кто нашёл уязвимости, заводят уголовные дела. Да, и срок исправления небольшой.
Это действительно так. Иной раз так стремно на контакт выходить если что-то случайно обнаружил… Каждый раз лотерея как твои замечания воспримут.
Почитайте пользовательские соглашения каршерингов, там вообще жуть.
Некоторые из них пишут, что будут передавать ваши личные данные любым 3м лицам. А это ваши сканы паспорта, прав, селфи с паспортом.

У «белки» отношении договора нормально, но через пару дней, после того, как я там зарегистрировался, на мой номер позвонили из некой «службы безопасности Сбербанка», назвали мое полное ФИО и просили назвать паспортные данные для «авторизации». Хотя в сбере я незарегистрирован, свой номер телефона в интернете не свечу.
Конечно, может просто совпадение, но какое-то странное.
СБ Сбербанка не будет звонить, просто так, для какой то авторизации. Так что я бы насторожился, о том, кто то и зачем звонил.
Это были не СБ Сбера, а мошенники, которые хотели что-то от меня получить. Начали с попытки выяснить мои паспортные данные.

Как минимум все эти компании не дают работать, не привязав предварительно карту.


Так что карту "для работы с мудаками" обязательно приходится иметь на такие случаи.

Да, я завел себе виртуальную карту и все платежи в интернете провожу через нее. На основной карте заблокировал платежи через интернет.
Кто знает без гугления или помнит, откуда взялась фраза «угнать за 60 секунд»? (Точнее, «угнана за 60 секунд»).
Фильм с Николасом Кейджем же!
Рука-лицо. Ну да, а почему этот фильм так называется-то?
до фильма с Кейджем был оригинальный фильм 74 года
image
Вооот, уже теплее. Так, 74 год — Gone in 60 seconds. Почему? Кстати, оригинал на порядок интереснее в плане погони. В 74 году бОльшая часть фильма — погоня за Мустангом, в новом слишком много лирики.
потому что надо фильм посмотреть?
я так понимаю вы знаете ответ.
Да, просто забавный факт. Без просмотра оригинала название не понять.
В оригинале была сцена, где машину угоняют с парковки около автодрома. И там было табло-бегущая строка, на которой был текст «Lock your car, or it may be gone in 60 seconds».
Атмосферный пост. Только у меня в голове при чтении звучало «Bring Sally up and bring Sally down»? ) www.youtube.com/watch?v=hJkm5R40Hj0
Зер гут, Вольдемар! Зер гут!
Стоп, я немного не понял про OTP. Это что, получается вы смогли ввести успешно подобранный пароль к одному юзеру, в окно ввода пароля к другому юзеру, да ещё и после того как на первом окне закончился срок ввода?

На сколько я понял, нет — брутфорсился тот же пользователь (номер телефона со страницы в vk), просто по одному паролю получилось авторизоваться, как минимум, дважды и уже после того, как в форме авторизации написали, что пароль просрочен.

Да Tomatos, вы все верно поняли. Ну это и из выводов в конце статьи можно понять :)

Где технические детали ???
А вообще уязвимость не серьезная. Все авто застрахованны по полной, компания купит новый. Клиент штрафы не будет оплачивать, так как штрафы приходят на собственника автомобиля.

Ага, вообще не серьезная, особенно когда кто-то наездит по вашей карте тысяч на 200. На счет штрафов: не исключено, что у каршеринга в оферте оговорен этот момент. По времени штрафа не трудно выяснить, кто был за рулем авто.

приходят штрафы — операторы каршеринга прекрасно умеют сопоставлять время, место и ID клиента
ДелиМобиль, кстати, теперь успевает в срок, достаточный, чтобы оплатить 50%
Получается, вскрываемый пользователь получал на свой телефон эти коды и никак не отреагировал.
«Взломанный пользователь» получил смс когда уже была глубокая ночь. Пока он проснется и разберется…
Только полноправные пользователи могут оставлять комментарии.
Войдите, пожалуйста.