Поддержи Трушеринг, стань нашим патроном на Patreon!

Легко ли угнать твой аккаунт? Проверка каршерингов на безопасность

Каршеровод Игнат Аникеев разобрался, кто из операторов лучше позаботился о том, чтобы аккаунт пользователя не украли, и, если это все-таки случится, оповестит об этом быстрее.

Введение

Написать эту статью меня побудило сообщение в чате каршероводов от пользователя Alex Khutor о том, как он проснулся от того, что Яндекс.Драйв списывает у него деньги за чужую поездку под его аккаунтом.

Мне стало интересно проанализировать, кто из операторов лучше всего предотвращает возможный угон, а если уж аккаунт угнали, то максимально оперативно сможет оповестить о случившемся.

Критерии оценки

Я выделил несколько критериев и по каждому из них начислял баллы оператору:

  1. Наличие двухфакторной авторизации или авторизации через одноразовый пароль — 3 балла

    Всегда лучше предотвратить угон, чем потом бороться с его последствиями.

  2. Оповещение о бронировании — 3 балла

    Позволит на самой ранней стадии узнать о том, что машину кто-то забронировал.

  3. Оповещение о начале платной брони — 0.5 балла

    Не всегда сработает, но тоже может дать сигнал, если злоумышленник долго идёт к машине.

  4. Промежуточные списания — 2 балла

    Можно узнать о том, что кто-то воспользовался твоим аккаунтом до того, как он завершит поездку.

  5. Пуш или смс об окончании поездки — 1 балл

    Оперативное оповещение о том, что поездка завершилась.

  6. Отчёт о поездке на почту — 0.5 балла

    Почта не так оперативна, как пуш или смс, поэтому только 0.5 балла.

  7. Возможность изменить или удалить email для оповещений в приложении — штраф 0.5 балла

    Если в приложении можно изменить или удалить email, то теряется смысл в отчёте на email, поэтому баллы снимаются.

Итак, поехали.

Последнее место — Anytime

У Anytime пароль приходит по смс, но проблема в том, что он 5-значный и состоит только из цифр. Кроме того, его можно использовать повторно. В меню приложения есть пункт «изменить пин-код», однако пин-код не меняется.

За 5 минут до начала платной брони приходит оповещение. +0.5 балла
На почту приходит отчёт о поездке. +0.5 балла
Почту можно поменять. -0.5 балла
Деньги списываются только за всю поездку сразу, без промежуточных списаний.
Ещё одна проблема: когда злоумышленник входит в приложение, владельца аккаунта «выкидывает».

Итог: 0.5 балла

Anytime определённо есть над чем работать, и начать стоит с нормальной авторизации.

Делимобиль

Делимобиль в прошлом году реализовали авторизацию по одноразовому паролю через смс, за что получают +3 балла.

Делимобиль, как и Anytime, сообщит о скором начале платного бронирования, пришлёт на почту отчёт по окончании поездки, но ничто не мешает почту изменить. +0.5 балла
Деньги списываются только за всю поездку сразу, без промежуточных списаний.

Итог: 3.5 балла

Авторизация реализована сильно безопаснее, чем в Anytime, но работать тоже есть над чем.

Яндекс.Драйв

Удивительно, но следующим в рейтинге идёт Яндекс. В Яндексе по умолчанию используется авторизация через email. Получив доступ к почте Яндекса, злоумышленник получает доступ ко всем сервисам Яндекса, которыми пользуется жертва, в том числе и к каршерингу.

Двухфакторная авторизация имеется, но Яндекс никак не мотивирует её использовать. Однако с её подключением доступ к аккаунту можно получить, только имея девайс, на котором установлен генератор паролей, и никак иначе. Пароль меняется каждые 30 сек. За такую реализацию Яндекс получает лишь половину баллов. +1.5 балла

Яндекс проводит промежуточные списания от 271.82₽ до 911₽, в зависимости от автомобиля, поэтому можно на ранних стадиях понять, что кто-то воспользовался вашим аккаунтом. +2 балла

Итог: 3.5 балла

Яндексу стоит активнее продвигать двухфакторную авторизацию, так как далеко не все пользователи знают о таком способе защиты своих аккаунтов и даже не задумываются об этом.

MatreshCar и другие на платформе CarTrek

Авторизация реализована через отправку одноразового пароля по смс. +3 балла
Каждые 300₽ поездки списываются с карты. +2 балла
По окончании поездки придёт пуш +1 балл и отчёт на почту, изменить которую нельзя. +0.5 балла

Итог: 6.5 баллов

В приложения на платформе CarTrek довольно сложно попасть злоумышленнику. А если и попал, то об этом станет известно, когда с карты начнут списывать промежуточные платежи. Для более высокой оценки не хватает оповещения о бронировании автомобиля.

Переходим к Топ-3.

3-е место — Rentmee

Rentmee заморочились с авторизацией. Мало того, что для входа необходим одноразовый пароль из смс, так ещё и селфи с водительским удостоверением. Кроме того, приложение невозможно использовать с двух устройств одновременно. За такой подход к защите аккаунта Rentmee получает двойные баллы по этому критерию. +6 баллов

Rentmee пришлёт смс об окончании бесплатной брони +0.5 балла и проводит промежуточные списания по 300₽. +2 балла
Отчёты о поездке на почту не приходят, только чеки.
Оперативно понять, где находится злоумышленник, если будет замечен угон, не получится, так как придётся заново проходить верификацию через селфи с водительским удостоверением.

Итог: 8.5 баллов

Для того, чтобы получить доступ к аккаунту Rentmee, нужно очень постараться.

2-е место — BelkaCar

Авторизация в BelkaCar реализована через одноразовый пароль, присылаемый по смс. +3 балла

Далее имеем полный набор оповещений:
Пуш о том, что машина забронирована, придёт на все устройства, где авторизован пользователь. +3 балла
Пуш и смс придут за 5 минут до окончания бесплатного бронирования. +0.5 балла
Промежуточные списания с банковской карты от 300₽ также имеются. +2 балла
По окончании поездки придёт пуш, смс +1 балл и письмо на почту. К сожалению, почту в приложении BelkaCar можно изменить в любой момент.

Итог: 9.5 баллов

BelkaCar отлично позаботились о сохранности аккаунта пользователя. Даже если злоумышленник поменяет email и привяжет свою карту, владелец аккаунта всё равно узнает о том, что кто-то забронировал автомобиль.

1-е место — YouDrive

Авторизация — одноразовый пароль по смс. +3 балла
Кроме того, YouDrive может потребовать сделать селфи при открытии авто, если заподозрит что-то неладное (например, если долго не пользоваться приложением или зайти с устройства, с которого раньше не заходил).
Пуш о бронировании. +3 балла
Пуш об окончании бесплатного бронирования. +0.5 балла
Промежуточные списания с банковской карты по 500₽. +2 балла
По окончании поездки придёт пуш +1 балл и письмо на почту +0.5 балла.

В приложении YouDrive можно отключить все оповещения, но они отключаются на каждом девайсе отдельно. Злоумышленник будет думать, что отключил их, но владелец аккаунта всё равно получит их все.

Итог: 10 баллов

YouDrive постарался максимально обеспечить безопасность аккаунта пользователя, а в случае чего максимально быстро оповестит владельца аккаунта. Как итог — заслуженное первое место.

Заключение

Надеюсь, мой анализ обратит внимание операторов на проблемы в безопасности приложений, а пользователей заставит лишний раз задуматься о безопасности своих данных и необходимости использования двухфакторной авторизации.

Безопасность приложений основных игроков рынка каршеринга

Безопасность – наше всё. Каршеровод Артём Чернышев проверил, легко ли злоумышленникам воспользоваться приложениями операторов на вашем телефоне, и рассказывает о результатах эксперимента.

Что не так с безопасностью и приложением Делимобиля

Каршеровод Lex объясняет, почему работа программистов Делимобиля вызывает у него неприязнь и беспокойство.

Промокоды автора, которые дадут бонусы вам и помогут сказать автору «спасибо» =)

  • промокод Делимобиль — REFVU55 (400 руб. на счет)
  • промокод BelkaCar — GXHU2571 (300 руб. на счет)
  • промокод YouDrive – Ty7HAt (скидка 50% на первую поездку)
  • промокод Rentmee – АГ5745 (250 руб. на счет)
  • промокод UrentCar – GFDKDI (скидка 50% на первую поездку)
  • промокод МатрешCar – IGNAT (300 руб. на счет)
  • промокод Car4you – 1065 (скидка 50% на первую поездку)
  • промокод Anytime – UVMBFG(скидка 15% на поездки)
  • промокод Anytime BY – ZEWB6G

Если вы хотите написать в блог каршеровода, свяжитесь с нами по почте. Если вам нужна помощь с блогом, напишите Polly Volkova в нашем телеграм-чате.

Правила сообщества
  • комментируйте!
  • будьте вежливы, уважайте участников;
  • старайтесь оставлять информативные, полезные и интересные комментарии;
  • соблюдайте действующее законодательство;
  • мы не приветствуем размещение промокодов и рекламы;
  • лучшие комментарии будут отмечены редакцией;
  • вы тоже можете стать автором или участником проекта и продвигать свои промокоды;