«Яндекс Такси» получило массу фейковых заказов в Москве от злоумышленников
Приложение «Яндекс Такси» утром 1 сентября столкнулось с массовыми фейковыми заказами автомобилей такси в московский район Фили, из-за чего возникла пробка на 40 минут. Об этом сообщила «Известиям» пресс-служба компании в четверг.
«Служба безопасности сервиса оперативно остановила попытки искусственного скопления автомобилей. Водители провели в пробке из-за фейковых заказов около 40 минут. Вопрос компенсаций будет решен в самое ближайшее время», — отметили в компании.
Сейчас автомобили такси разъехались из района скопления и выполняют заказы в обычном режиме, уточнили в пресс-службе. Там добавили, что уже усовершенствовали алгоритм обнаружения и предотвращения подобных атак.
В Telegram-каналах сообщалось, что пробка из-за этой ситуации образовалась в районе станции метро «Кутузовская».
Сооснователь CISO Awillix Александр Герасимов заявил «Известиям», что ответить однозначно, какова причина сбоя, сложно. Это, по его словам, может быть в том числе внутренний сбой, например, некорректная обработка запроса на создание заказа, ели разработчики вносили изменения в приложение и это повлияло на логику обработки ответа веб-сервера. Когда машина не находится, заказ проходит повторно и происходит его зацикливание.
«Но говорят, что заказа, на который приехали больше сотни машин, не существовало. Это может быть влияние злоумышленников», — предположил эксперт.
Мошенники, по его словам, могли поэксплуатировать API-интерфейс, который отвечает за создание заказа. Если кнопка «заказать» отправила запрос, его могли перехватить и отправить несколько раз. Также могла отсутствовать защита от множественных заказов или была ошибка в бизнес-логике приложения, позволяющая создать заказ от имени другого человека.
Также есть вариант внутреннего злоумышленника, оформившего заказ напрямую через систему «Яндекса».
Александр Герасимов рассказал, что фейковые заказы на Кутузовский проспект сопровождались комментарием «Девушки и парни, хватит кормить желтого, работайте по Wheely». В CISO Awillix думают, что это только для отвода глаз от настоящего выгодоприобретателя. Вряд ли Wheely способен на такую конкурентную атаку, подчеркнул собеседник.
В конце июня сообщалось о сбое в работе агрегаторов такси «Яндекс Go» и Uber в Москве. При попытке зайти в приложения со смартфонов на Android и iOS появлялись надписи «Ошибка сервера. Мы уже исправляем ситуацию», «Неизвестная ошибка», «Нет соединения». Такси в приложениях невозможно было заказать как минимум час.
