Георгий Лобушкин

Великолепная статья

а вот это уже уязвимость посерьёзнее =(

Всем привет. Сергей, ещё раз здравствуйте.  Ситимобил на связи.

Мы внимательно изучили всю ситуацию, описанную Сергеем Крупником. Мы ожидаем, что все детали найденных дефектов, а также любые вопросы касающиеся уязвимостей, будут сначала заданы нам в тикете на HackerOne (https://hackerone.com/reports/756833). В данной ситуации мы не получили всех тех деталей, которые описаны в статье, и очень ждем от автора, что в будущем вместе с ним лично будем обсуждать любые возникающие вопросы. 

Теперь по существу. Отображение доступных машин поблизости без пассажиров — штатная функциональность любого приложения по заказу такси, которую на данный момент нет планов менять. Описанный баг не позволял получить данные водителей Ситимобил с пассажирами и не позволял трэкать их перемешения. В любом случае, у нас есть план технически ограничить получение подобных данных. 

 По условиям программы Bug Bounty мы не можем можем выплатить вознаграждение после открытой публикации уязвимости. Но от команды Ситимобил считаем важным выдать вознаграждение за сообщение об этой возможности и проделанные усилия для её описании. Мы также готовы предложить Крупнику присоединиться к инженерной команде Ситимобил. Ещё мы призываем всех специалистов, кто занимается безопасностью пользовательских данных, сообщать нам о найденных уязвимостях через сайт HackerOne. Ситимобил очень серьёзно относиться к любым найденным уязвимостям и готов сотрдуничать со всеми, кому не безразлична эта тема. Мы также готовы выплачивать достойные вознаграждения за найденные баги в наших продуктах, но в рамках правил площадки HackerOne. 

С чего-то надо начинать. И я постарался дать совет. Но там вообще много смешного, Александра, согласен.

Открытие года

Ой, сорри.

Спасибо за репорт, скоро выкатим фикс, чтобы в приложении явно указывался регион действия. Промокод SOTEN рабочий, но старый и только в Москве (потому что до недавнего времени мы работали только в Москве). Сейчас для Ярославля сделали промокод 'FREEYA' — даёт 45 руб. на первые 10 поездок до конца этой недели. А Вам лично бонус за багрепорт, напишите мне в vk.com/zhora или twitter.com/lobushkin

:(

Справедливо (особенно в пиковые нагрузки). С подключением автопарков будет лучше. Продолжаем работать над этим.

Пофиксим это.

Так никто никогда не шутил!

Не читаю этот канал буквально с запуска.

Звукозаписывающая компания — https://en.wikipedia.org/wiki/Universal_Music_Group

Нет.

Хотите сказать, что «ВКонтакте» небольшая компания?

Описанное, конечно, относится ко всем типам коммуникаций, не только к защищенным мессенджерам. Но, скажем, если у меня есть опасения, что переписку прочитают на стороне провайдера, то защищенность протокола исключает такой сценарий. Всё остальное — демагогия. Едва ли носитель инсайда при обмене сведениями допускает физический доступ к устройству.