Более 400 дыр в защите: каршеринг оказался открытой дверью для мошенников

Когда вы открываете приложение для аренды автомобиля или электросамоката, вряд ли задумываетесь, что вместе с поездкой отдаёте ещё и часть своей приватности. Но недавние исследования показали: цена удобства может быть куда выше, чем кажется на первый взгляд.

Более 400 уязвимостей

Специалисты Appsec Solutions выявили в популярных российских сервисах для аренды автомобилей и самокатов более 400 уязвимостей. При этом 25 из них признаны критическими. Речь идёт не просто о технических ошибках, а о серьёзных рисках для безопасности клиентов.

По данным компании, некоторые приложения сохраняют фотографии паспортов, данные банковских карт и сведения о геолокации в открытом виде, без должного шифрования. Более того, ряд сервисов не защищены от запуска на сторонних устройствах — а это прямой путь к утечке персональной информации.

Какие данные в зоне риска

Важно понимать, что каршеринг и кикшеринг по своей природе требуют доступа к чувствительной информации. Для аренды автомобиля необходимо подтверждать водительские права, а при использовании самокатов сервисы фиксируют персональные данные, чтобы контролировать соблюдение правил дорожного движения.

По сути, каждый пользователь делится с приложением цифровым досье о себе, и если оно хранится без защиты, последствия могут быть весьма неприятными.

Как ответили сервисы

Реакция компаний оказалась разной.

"Данные клиентов не хранятся в мобильном приложении, а все системы регулярно проходят проверку безопасности", — заявил директор по IT "Делимобиля" Александр Белотуркин.

В "Ситидрайве" тоже поспешили успокоить клиентов.

"Информация пользователей зашифрована на серверах, и случаев утечек не зафиксировано", — заявили в компании.

Зато "МТС Юрент" и Whoosh оставили ситуацию без комментариев.