В приложениях для аренды машин и самокатов нашли более 400 уязвимостей

В российских приложениях для аренды машин и самокатов обнаружено свыше 400 уязвимостей, создающих риск утечки данных пользователей. Из них 25 — высокого уровня критичности. Об этом сообщил «Ведомостям» представитель Appsec Solutions, разрабатывающей ПО для устранения критических уязвимостей.

Компания проанализировала 13 «наиболее популярных» в России приложений каршеринга и кикшеринга. Названия приложений не приводятся. Выяснилось, что часть из них хранят в открытом виде фото паспортов, банковские карты и геолокацию. Кроме того, у нескольких сервисов нет механизмов защиты от использования приложения на скомпрометированных устройствах.

В Appsec Solutions напомнили, что такие сервисы собирают большой массив информации о пользователях. В случае с каршерингом речь идет о документах, подтверждающих право на вождение, и платежных данных, а кикшеринг требует персональные сведения для фиксации нарушений ПДД.

Директор по IT «Делимобиля» Александр Белотуркин заявил, что персональные данные пользователей хранятся вне мобильного приложения и защищены и сервис регулярно проверяет исходный код и проводит аудит безопасности. Представитель «Ситидрайва» сказал, что информация о пользователях хранится на серверах в зашифрованном виде, и утечек персональных данных сервис не фиксировал. В пресс-службах «МТС Юрент» и Whoosh отказались от комментариев.

О правилах аренды машин в Москве — в материале «Ъ» «Каршеринг отправили вслед за самокатами».