Найдены дубликаты

+1

@moderatorАтминиты тут какой то баян

0
Атминиты, атминиты, вити надо выйти
0
это он тебе еще порусски пишет
0

а што тибе не нравитса брат я узбек ты атминил ситимобил да маладэс гаварит спосиб

0

4 раза запостить этот скрин в предыдущем посте было мало, надо было ещё 1 пост запилить?

раскрыть ветку 1
0

да думал приожение тупит,но тупил я

-1

Я никогда не смеюсь над приезжими по поводу не знания русского языка. Но тут блять совсем другое дело. Если дом работница плохо говорит по русски - это одно. Но тут таксист!!! Если он недостаточно владеет русским, то и города он не знает наверняка. Набирают таких вот непрофессионалов, а потом мы все удивляемся почему водитель не туда отвез.

Похожие посты
2081

Как я нашел способ отследить всех водителей «Ситимобил»

В субботу вечером я, как всегда, сидел и снифил трафик со своего телефона. Внезапно, открыв приложение «Ситимобил» я увидел, что один интересный запрос выполняется без какой-либо аутентификации.


Это был запрос на получение информации о ближайших машинах. Выполнив этот запрос несколько раз с разными параметрами я понял, что можно выгружать данные о таксистах практически в реалтайме. Вы только представьте, сколько интересного можно теперь узнать!


ТЫЦ ( большая гифка, не уместилась)


С чего все началось?


Да, я действительно сидел и смотрел трафик с телефона. Дело в том, что я инженер, и постоянно изучаю, как работают технологии и разные вещи вокруг меня. Так было и в этот раз.


Я использовал mitmproxy (Man In The Middle Proxy) — программа для атаки «человек посередине». Есть много инструкций по её установке и настройке, а общий принцип такой:


1. Подключаешься к домашнему WiFi с телефона и компьютера

2, Запускаешь mitmproxy на компьютере

3, В телефоне прописываешь локальный адрес компьютера как основной прокси (уже можно смотреть внутрь http)

4, Скачиваешь и подтверждаешь сертификат на телефоне (позволяет заглядывать внутрь https)


Теперь, грубо говоря, весь трафик с телефона идет сначала на компьютер, расшифровывается, показывается на экране, зашифровывается и идет дальше. И наоборот.


Таким способом я изучаю, как сделаны разные приложения, а иногда нахожу очень интересные вещи. Например, в этот раз я увидел запрос от приложения «Ситимобил» на получение информации о ближайших водителях, который не требовал аутентификации.


Bug bounty Mail


Я оформил всю информацию на hackerone и отправил на рассмотрение. После опыта взаимодействия с баг баунти Яндекса, я не рассчитывал на быстрый ответ, однако уже через 3 минуты некто «3apa3a» закрыл мой репорт. Отличная скорость, Mail!


В ответе написали, что данные показываются пользователю в приложении, а значит не являются чувствительными и защищать их не надо.

Как я нашел способ отследить всех водителей «Ситимобил» Информационная безопасность, Длиннопост, Реверс-Инжиниринг, Такси, Ситимобил, Гифка, Habr

Ну что ж. Раз это публичные данные, давайте развлекаться!


Как получить данные?


Информацию о 10 ближайших водителях к геопозиции можно получить, отправив POST запрос на следующий адрес:

https://c-api.city-mobil.ru/getdrivers

При этом в теле запроса нужно указать интуитивно-понятные параметры:

{

"latitude": LAT,

"longitude": LON,

"limit": 10,

"method": "getdrivers",

"radius": 5,

"tariff_group": [ 4, 5, 6 ],

"ver": "4.33.0"

}

Здесь tariff_group — массив классов авто. Например, эконом, комфорт, бизнес и т.п.

При этом поля radius и limit не работают, как надо, но и убрать их нельзя.


В итоге, запрос на получение информации можно отправить просто из командной строки:

curl -X POST --data '{ "latitude": 55.7, "limit": 10, "longitude": 37.6, "method": "getdrivers", "radius": 5, "tariff_group": [4], "ver": "4.33.0" }' https://c-api.city-mobil.ru/getdrivers

В ответ приходит JSON с данными о 10 ближайших к (LAT, LON) автомобилях:


Ответ сервера:

{

"drivers":[

{

"id":"1c1f6779f893af6fe5bf4509af7366cd",

"lt":"55.7025061",

"ln":"37.5954334",

"direction":"3",

"CarColorCode":"000000",

"car_type":"comfort_plus"

},

{

"id":"1a13d0daad9b6a3fa2b3d04a5b6f8c2a",

"lt":"55.7019682",

"ln":"37.6054896",

"direction":"3",

"CarColorCode":"000000",

"car_type":"comfort"

},

{

"id":"c7c1634fae41a68924083af1d496d0a7",

"lt":"55.7014223",

"ln":"37.6067352",

"direction":"3",

"CarColorCode":"000000",

"car_type":"comfort_plus"

},

{

"id":"f15ce054ccdaa268b16a0904b9eecdae",

"lt":"55.6956527",

"ln":"37.5972063",

"direction":"4",

"CarColorCode":"000000",

"car_type":"sedan"

},

{

"id":"94ebc0fcc644bb1da4b57e7d23942e6d",

"lt":"55.694786",

"ln":"37.5982642",

"direction":"4",

"CarColorCode":"000000",

"car_type":"sedan"

},

{

"id":"7251c45ee945c9cb839d69d5902b9f17",

"lt":"55.7009351",

"ln":"37.6094206",

"direction":"3",

"CarColorCode":"000000",

"car_type":"comfort"

},

{

"id":"cb9dab2ba7379c3db817dd76ec68e6c5",

"lt":"55.6950137",

"ln":"37.6041883",

"direction":"8",

"CarColorCode":"000000",

"car_type":"sedan"

},

{

"id":"761891d9c1129b1678c3eba616249e2b",

"lt":"55.6944542",

"ln":"37.5951122",

"direction":"2",

"CarColorCode":"000000",

"car_type":"sedan"

},

{

"id":"4f0e835751cadaa5d5386f0e1374f315",

"lt":"55.7066516",

"ln":"37.6011767",

"direction":"7",

"CarColorCode":"000000",

"car_type":"sedan"

},

{

"id":"2eb330cad5e5d9c87e6d0600a9ff10e8",

"lt":"55.7066801",

"ln":"37.6009127",

"direction":"8",

"CarColorCode":"000000",

"car_type":"comfort"

}

],

"nearest":{

"duration":420

},

"service_status":1

}

Посмотрим, что тут у нас

{

"id":"2eb330cad5e5d9c87e6d0600a9ff10e8",

"lt":"55.7066801",

"ln":"37.6009127",

"direction":"8",

"CarColorCode":"000000",

"car_type":"comfort"

}

Идентификатор, широта, долгота, код направления (Северо-запад), код цвета и тип авто. Отлично!

Нужно больше данных!


Так как поля лимит и радиус в запросе игнорируются, а в ответ возвращается не больше 10 ближайших авто, нельзя так просто взять и выбрать N точек на Москву, чтобы за N запросов получить всю информацию об автопарке.


Но решение есть. Я написал алгоритм, похожий на заливку, который запускает запросы на поиск с координатами водителей, найденных на прошлом этапе. Ещё я все это дело распараллелил, а прокси подключать не пришлось — mail позволяет мне делать все несколько тысяч запросов за минуту с одного и того же ip.


В результате за пару десятков секунд собирается информация о всех таксистах «Ситимобил», которые сейчас на линии в Москве и Московской области. Именно так получается гифка из начала статьи.


Думаете, сколько водителей на линии в воскресенье утром?

В 11 утра их было 4374


Но разве нас интересует срез? Давайте посмотрим в динамике.

Как я нашел способ отследить всех водителей «Ситимобил» Информационная безопасность, Длиннопост, Реверс-Инжиниринг, Такси, Ситимобил, Гифка, Habr

Найс. А как эти водители распределены в пространстве?

Как я нашел способ отследить всех водителей «Ситимобил» Информационная безопасность, Длиннопост, Реверс-Инжиниринг, Такси, Ситимобил, Гифка, Habr

Ну и напоследок давайте проследим за каким-нибудь водителем.

Как я нашел способ отследить всех водителей «Ситимобил» Информационная безопасность, Длиннопост, Реверс-Инжиниринг, Такси, Ситимобил, Гифка, Habr

Вот, видно маршрут. А ведь можно еще поднять частоту опроса и получить более точные данные.


И что такого?


А то, что данные вроде как важные.


Во-первых, можно оценить долю рынка и доходность компании «Ситимобил».


Во-вторых, на месте другого агрегатора (например, Яндекс.Такси) я бы использовал данные о положении таксистов конкурентов. Для ценообразования, например. Или вычислил водителей, работающих и там, и там на основе корреляций в геопозициях.


В-третьих, раз можно отследить конкретного таксиста, можно отследить и его клиента. Это уже серьёзно. По факту, можно узнать, куда уехал человек на «Ситимобиле», если вы знаете, где он сел в такси.


Заключение


Не нужно недооценивать важность данных, которые показываются клиенту.


Если Mail  все еще считают, что эту информацию не нужно защищать, то Яндекс.Такси, вот вам гора данных. С её помощью вы сможете забрать часть прибыли Ситимобила.


Если же Mail  признаёт, что данные чувствительные и закрывает к ним доступ, то будет честно выплатить вознаграждение по bug bounty.


Как ещё можно использовать данные о таксистах по вашему мнению?


Спасибо, что дочитали! Надеюсь, вам было интересно.


Успехов!


Оригинал


UPD: Ответ Ситимобила:

Как я нашел способ отследить всех водителей «Ситимобил» Информационная безопасность, Длиннопост, Реверс-Инжиниринг, Такси, Ситимобил, Гифка, Habr
Показать полностью 5
934

Очередной обман Ситимобил

UPD Проблема решена

Коротко и ясно.
Заказал такси в Ситимобил, цена 692 рубля, думаю дорого, но дешевле на 50 рублей чем у Яндекса. Я же экономный)
Сразу списали деньги с карты скрины ниже.
Приехало такси, сразу сел без ожидания, доехали без пробок и дополнительных остановок. По итогу списали 1140 рублей! За что ? А вот кто его знает? Поддержка не отвечает...

Очередной обман Ситимобил Такси, Ситимобил, Обман, Длиннопост
Очередной обман Ситимобил Такси, Ситимобил, Обман, Длиннопост
Очередной обман Ситимобил Такси, Ситимобил, Обман, Длиннопост

И вот мне плюсов не надо, мне просто высказаться нужно. Ехал на ведре в которой подвеска стучит как соседи по батареи. За эту сумму можно было на комфорте спокойно доехать. Ситимобил блин помойка полнейшая, уже не первый раз такое .. Дайте хоть какой то ответ почему списали 448 рублей в вашем же приложении написано что цена не меняется вот прям первым пунктом... Скрин ниже

Очередной обман Ситимобил Такси, Ситимобил, Обман, Длиннопост

Благодарю за внимание, бомбить все равно не перестает.

Показать полностью 3
274

Ситимобил в Уфе

Здравствуй Пикабу!

Запустился на прошлой неделе в нашем городе новый агрегатор, Ситимобил. Ну и, значицо, пока они отвоевывают рынок у предшественников, у них вкусные скидки пассажирам, выгодные тарифы водителям. Ну и я, как любитель халявы, естественно решил немножко покататься на такси, в связи с чем два эпизода:

Эпизод 1

Воскресенье, нужно ехать на семейный праздник за город, смотрю ценники, у Ситимобил на 30% дешевле, чем у остальных, вызываю машину. Некий Шамил на Ладе Ларгус принимает заказ, находясь в нескольких кварталах от меня, тут же жмет, что он на месте и что пассажир сел. Я было подумал, ну бывает, случайно нажал, сейчас приедет. Но на карте водитель начинает двигаться в сторону конечного пункта назначения. В чате не отвечает, позвонить ему нельзя, отменить заказ нельзя, тех.поддержка готова помочь в течении 24 часов… Ох и бомбило меня, пока я наблюдал как он уезжает, загород на конечную точку и завершает заказ. Бабки с карты списаны.

Ну, думаю, бывает, может быть с русским языком проблемы, интерфейс не интуитивный, случайно прожал, по ошибке поехал на конечную точку. Техподдержка разберется, деньги вернут.


Эпизод 2

Сегодня после работы, спустя 2 дня, снова вызываю таксу Ситимобил, машина назначена… и ОП! Да же это Шамил на Ладе Ларгус! Только я начал предвкушать нашу встречу, и что ситуация разрешится.. как вдруг «Машина на месте», «в пути осталось 9 минут»! ЯРОСТЬПЛАМЯБУРЯЭМОЦИЙ. Находясь в нескольких кварталах от меня, водитель поехал на конечный пункт.. Заказ завершен, деньги списаны.

Собственно хочу во первых передать разбойнику Шамилу привет, кто бы он не был, хитрый таксист, или же группа предприимчивых граждан с левым акком и фейковым gps, во вторых передать привет Ситимобайл, чья техподдержка до сих пор не отреагировала (бабки не возвращены, аккаунт Шамила не заблочен), да и в защите дыра, в третьих предупредить жителей своего региона от возможных финансовых и моральных потерь.

Всем добра, будьте осторожней!

Ситимобил в Уфе Ситимобил, Такси, Обман, Mailru Group, Уфа, Без рейтинга, Длиннопост
Ситимобил в Уфе Ситимобил, Такси, Обман, Mailru Group, Уфа, Без рейтинга, Длиннопост
Ситимобил в Уфе Ситимобил, Такси, Обман, Mailru Group, Уфа, Без рейтинга, Длиннопост
Ситимобил в Уфе Ситимобил, Такси, Обман, Mailru Group, Уфа, Без рейтинга, Длиннопост
Ситимобил в Уфе Ситимобил, Такси, Обман, Mailru Group, Уфа, Без рейтинга, Длиннопост

Ответ техподдержки:

Ситимобил в Уфе Ситимобил, Такси, Обман, Mailru Group, Уфа, Без рейтинга, Длиннопост

#comment_156369801

Показать полностью 5
15040

Гребаные таксисты или самая обиженная каста работников.

Новая фишка от самых обиженных. Возможно уже и не новая, но вчера первый раз столкнулись с этой дичью.

Внуково. Время 23:00, народу перед выходом к такси уйма. Никогда не видела столько народу. И все стоят с телефонами, но почему-то не могут уехать. Мы вызываем Uber....1100-1200 руб.(не мало,но и не много), видим на радаре кучу машин у выходов, но никто не берет заказ.ОК. Вызываем Ситимобил, рядом тетенька вызывает Яндекс...опять, куча машин в округе и у выходов, заказ не берут. Краем уха слышу от парня, который подошел попрощаться с друзьями, мол они спецом так делают, и вариант либо заказывать "оф такси" с аэропорта(такие же мудаки), либо выходить на холод и торговаться с агрегаторами. Типа "за 1100 не повезу, а за хульярд повезу". Все стоят и не могут уехать. Мы провызывали около часа, в итоге решили лайфхукнуть - вышли к остановке автобуса за 38р, сели на 911 и уехали подальше от этого дерьма к метро Саларьево. Там вызвали такси за 500 рублей и уехали.

Храни Господь тебя парень ,не знаю как по батюшке и по имени,что откликнулся и довез.... :)

191

Бабушки, тортики, сотрудники.

Пост для таксистов в Спб.

Как задолбали все эти фейковые вызовы. Надо тортик отвезти, и бабушку иногороднюю, и сотрудников с другой планеты. Только дайте свой номер телефона.

А секрет оказался прост. Это новоявленный Ситимобил собирал базу действующих таксистов для переманивания к себе..

Зачем запускать рекламную кампанию, когда можно таким, нехитрым манёвром собрать лопухов.

Уж я, обладая достаточной степенью паранойи, нигде не светила свой рабочий номер, кроме Яндекса и Таксофичкова, а замучилась отправлять в спам сообщения в ватсапе от этого Сити.

Может, конечно, это и нормальный агрегатор( в МСК), но к нам на рынок заходит очень недостойным методом.

Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: