Сказ о том, как Минтранс собрал и просрал персональные данные таксистов Москвы и МО⁠⁠

Привет Пикабу, на связь опять выходит чудило по имени Выйтиизайти. В этой истории я не горю желанием обозначать свою роль, поэтому расскажу ее больше как наблюдатель со стороны, чтобы товарищ майор особо не возбуждался в мой адрес.

Для справки: автор - не пентестер, не хацкер, а просто любопытный мимокрокодил.

Все началось с того, что одна светлая голова в Минтрансе решила создать электронный реестр таксистов. И я сейчас пишу без сарказма, это вполне нормальный инструмент. Для тех кто не варится в сфере поясню: государство сейчас контролирует лишь перевозчиков, это как правило ИП или ООО владеющее машиной (и лицензией такси). Человек же сидящий за рулем этой машины - загадка.

Поэтому поступило вполне логичное предложение: сделать электронный реестр, у всех таксистов проверить документики и внести их в систему в добровольно-принудительном порядке. А дальше уже развивать функционал для контроля и анализа данных, ну вы поняли

История эта как-то не задалась с самого начала. Вот что пишет Интерфакс в ноябре 2020 года:

До конца текущего года в Москве будет подготовлена цифровая база водителей такси КИС "АРТ", которая должна существенно повысить безопасность таксомоторных перевозок, сообщил замруководителя Центра организации дорожного движения столицы Александр Евсин.

https://www.interfax-russia.ru/moscow/main/cifrovuyu-bazu-ta...

Потом Известия анонсируют перенос в Июле 2021:

Правительство Москвы уведомило о решении перенести запуск системы отслеживания работы такси КИС «АРТ» с 1 на 14 августа в связи с многочисленными просьбами бизнеса. Об этом в пятницу, 30 июля, сообщили в пресс-службе столичного департамента транспорта.

https://iz.ru/1200698/2021-07-30/v-moskve-perenesli-datu-zap...

В августе 2021 года запуск состоялся, новости отчитались о том как замечательно все прошло, а отзывы об этом событии с форума таксистов я сюда вставлять не буду :)

Да-да, я знаю что вы уже хотите увидеть "внутрянку" этой невероятной инновации, дайте мне еще минутку на экскурс. Вставлю цитатку:

КИС «АРТ» — комплексная информационная система «Аналитика работы такси». Действующая в Москве и Подмосковье система контроля таксистов.

Каждый водитель получает цифровой ID, на него заводится цифровой профиль, куда включают данные о действующих правах, наличии разрешения на перевозку пассажиров, о штрафах, судимостях, количестве отработанных часов.

Ну и про деньги, куда же без них:

Система обошлась столичному дептрансу в 123 млн рублей — 93 млн получила компания «Интермобилити», ещё почти 30 млн досталось компании «Стандартпроект».

Итак, барабанная дробь, инновационная система за 123 млн рублей на вашем экране!

Да, вы все верно поняли. Весь реестр представляет из себя небольшой сайтик со списками и формами, регистрация на котором происходит в ручном режиме (у водителей например требуют селфи с паспортом и фото ВУ, которые по всей видимости проверяет сотрудник Минтранса).

Скриншоты кстати свежие, далеко не 2021 год. Реестр работает, там стабильно появляются новые водители, причем появляются они там самыми разными способами:

Давайте пропустим ту часть, где я ною о том что из заявленного функционала нихрена они не сделали, штрафы до сих пор проверить невозможно, консоль в браузере пердит ошибками, а жалкое подобие электронного путевого листа который генерируется этой системой не соответствует последнему закону о такси. Перейдем к сути.

Чтобы понять как именно из этой системы утекали данные, я объясню задумку Минтранса. В момент регистрации водителю присваивают идентификатор - так называемый КИС АРТ ID. Логика формирования прозрачна, хоть о ней никто и не говорит: это порядковый номер человека в системе. То есть, если КИС АРТ ID водителя 300001, значит до него уже зарегистрировалось 300000 бедолаг.

Кроме водителей в системе есть другие участники: пункты медосмотра, техосмотра, таксопарки. Последние могут "пригласить" водителя к себе (не суть важно зачем, оно все равно блять не работает). Вся проблема кроется именно в механизме этого самого "приглашения".

Сейчас форма поиска выглядит чуть иначе, поэтому я вставил скриншот с видео на Ютубе

Они сделали форму поиска с двумя полями, но для работы достаточно лишь одного значения

Давайте предположим что у нас есть такой водитель:
ФИО: Иванов Иван Иванович
КИС АРТ ID: 300654
Телефон: 8 (000) 000 00 00

Таксопарк может искать водителя или по номеру телефона (который кстати является логином). Вбиваем и получаем следующий ответ от сервера:

id: 300654
full_name: "******* Иван Иванович"

Дальше ищем то же самое по номеру КИС АРТ ID

full_name: "******* Иван Иванович"
phone: *** *** 00 00

Зная КИС АРТ ID можно получить последние 4 цифры номера телефона водителя, его имя и отчество. Коды операторов сотовой связи - первые три цифры номера - для Москвы и области гуглятся за пару секунд. Ладно бы все это, но поиск по номеру телефона, который однозначно сообщает является ли его владелец таксистом, его ID, имя и отчество?

А теперь загадка от Жака Фреско. Как вы думаете, в системе за 123 миллиона рублей подрядчик реализовал защиту от дудоса? Ограничение на число запросов поиска, или хотя бы примитивную капчу как на сайте ГИБДД?

Да, вы все верно поняли, никаких ограничений не было. На тему того, как используя эту информацию можно было выкачивать данные водителей такси я предлагаю порассуждать в комментариях :))

Осень 2021 года запомнилась многим таксишным IT-системам, сервисам и крупным таксопаркам невероятнейшим наплывом предложений купить СЛИТУЮ БАЗУ НОМЕРОВ ВОДИТЕЛЕЙ ТАКСИ КИС АРТ 2021. Какое количество персонализированного спама и звонков получили таксисты остается только догадываться.

Примерно через полгода постоянных лагов КИС АРТа дыру эту молча закрыли, установив ограничение на два поисковых запроса с одного аккаунта в минуту. Никаких комментариев от ведомства тоже не поступало. Капитализм, счастье, заебись!

А на этом у меня все! Пользуясь случаем передаю привет своему единственному подписчику, надеюсь этот пост тебе понравился <3