Написать эту статью меня побудило сообщение в чате каршероводов от пользователя Alex Khutor о том, как он проснулся от того, что Яндекс.Драйв списывает у него деньги за чужую поездку под его аккаунтом.

Мне стало интересно проанализировать, кто из операторов лучше всего предотвращает возможный угон, а если уж аккаунт угнали, то максимально оперативно сможет оповестить о случившемся.

Я выделил несколько критериев и по каждому из них начислял баллы оператору:

1. Наличие двухфакторной авторизации или авторизации через одноразовый пароль — 3 балла
   

   Всегда лучше предотвратить угон, чем потом бороться с его последствиями.

2. Оповещение о бронировании — 3 балла
   

   Позволит на самой ранней стадии узнать о том, что машину кто-то забронировал.

3. Оповещение о начале платной брони — 0.5 балла
   

   Не всегда сработает, но тоже может дать сигнал, если злоумышленник долго идёт к машине.

4. Промежуточные списания — 2 балла
   

   Можно узнать о том, что кто-то воспользовался твоим аккаунтом до того, как он завершит поездку.

5. Пуш или смс об окончании поездки — 1 балл
   

   Оперативное оповещение о том, что поездка завершилась.

6. Отчёт о поездке на почту — 0.5 балла
   

   Почта не так оперативна, как пуш или смс, поэтому только 0.5 балла.

7. Возможность изменить или удалить email для оповещений в приложении — штраф 0.5 балла
   

   Если в приложении можно изменить или удалить email, то теряется смысл в отчёте на email, поэтому баллы снимаются.

Итак, поехали.

У Anytime пароль приходит по смс, но проблема в том, что он 5-значный и состоит только из цифр. Кроме того, его можно использовать повторно. В меню приложения есть пункт «изменить пин-код», однако пин-код не меняется.

За 5 минут до начала платной брони приходит оповещение. +0.5 балла
На почту приходит отчёт о поездке. +0.5 балла
Почту можно поменять. -0.5 балла
Деньги списываются только за всю поездку сразу, без промежуточных списаний.
Ещё одна проблема: когда злоумышленник входит в приложение, владельца аккаунта «выкидывает».

Итог: 0.5 балла

Anytime определённо есть над чем работать, и начать стоит с нормальной авторизации.

Делимобиль в прошлом году реализовали авторизацию по одноразовому паролю через смс, за что получают +3 балла.

Делимобиль, как и Anytime, сообщит о скором начале платного бронирования, пришлёт на почту отчёт по окончании поездки, но ничто не мешает почту изменить. +0.5 балла
Деньги списываются только за всю поездку сразу, без промежуточных списаний.

Итог: 3.5 балла

Авторизация реализована сильно безопаснее, чем в Anytime, но работать тоже есть над чем.

Удивительно, но следующим в рейтинге идёт Яндекс. В Яндексе по умолчанию используется авторизация через email. Получив доступ к почте Яндекса, злоумышленник получает доступ ко всем сервисам Яндекса, которыми пользуется жертва, в том числе и к каршерингу.

Двухфакторная авторизация имеется, но Яндекс никак не мотивирует её использовать. Однако с её подключением доступ к аккаунту можно получить, только имея девайс, на котором установлен генератор паролей, и никак иначе. Пароль меняется каждые 30 сек. За такую реализацию Яндекс получает лишь половину баллов. +1.5 балла

Яндекс проводит промежуточные списания от 271.82₽ до 911₽, в зависимости от автомобиля, поэтому можно на ранних стадиях понять, что кто-то воспользовался вашим аккаунтом. +2 балла

Итог: 3.5 балла

Яндексу стоит активнее продвигать двухфакторную авторизацию, так как далеко не все пользователи знают о таком способе защиты своих аккаунтов и даже не задумываются об этом.

Авторизация реализована через отправку одноразового пароля по смс. +3 балла
Каждые 300₽ поездки списываются с карты. +2 балла
По окончании поездки придёт пуш +1 балл и отчёт на почту, изменить которую нельзя. +0.5 балла

Итог: 6.5 баллов

В приложения на платформе CarTrek довольно сложно попасть злоумышленнику. А если и попал, то об этом станет известно, когда с карты начнут списывать промежуточные платежи. Для более высокой оценки не хватает оповещения о бронировании автомобиля.

Переходим к Топ-3.

Rentmee заморочились с авторизацией. Мало того, что для входа необходим одноразовый пароль из смс, так ещё и селфи с водительским удостоверением. Кроме того, приложение невозможно использовать с двух устройств одновременно. За такой подход к защите аккаунта Rentmee получает двойные баллы по этому критерию. +6 баллов

Rentmee пришлёт смс об окончании бесплатной брони +0.5 балла и проводит промежуточные списания по 300₽. +2 балла
Отчёты о поездке на почту не приходят, только чеки.
Оперативно понять, где находится злоумышленник, если будет замечен угон, не получится, так как придётся заново проходить верификацию через селфи с водительским удостоверением.

Итог: 8.5 баллов

Для того, чтобы получить доступ к аккаунту Rentmee, нужно очень постараться.

Авторизация в BelkaCar реализована через одноразовый пароль, присылаемый по смс. +3 балла

Далее имеем полный набор оповещений:
Пуш о том, что машина забронирована, придёт на все устройства, где авторизован пользователь. +3 балла
Пуш и смс придут за 5 минут до окончания бесплатного бронирования. +0.5 балла
Промежуточные списания с банковской карты от 300₽ также имеются. +2 балла
По окончании поездки придёт пуш, смс +1 балл и письмо на почту. К сожалению, почту в приложении BelkaCar можно изменить в любой момент.

Итог: 9.5 баллов

BelkaCar отлично позаботились о сохранности аккаунта пользователя. Даже если злоумышленник поменяет email и привяжет свою карту, владелец аккаунта всё равно узнает о том, что кто-то забронировал автомобиль.

Авторизация — одноразовый пароль по смс. +3 балла
Кроме того, YouDrive может потребовать сделать селфи при открытии авто, если заподозрит что-то неладное (например, если долго не пользоваться приложением или зайти с устройства, с которого раньше не заходил).
Пуш о бронировании. +3 балла
Пуш об окончании бесплатного бронирования. +0.5 балла
Промежуточные списания с банковской карты по 500₽. +2 балла
По окончании поездки придёт пуш +1 балл и письмо на почту +0.5 балла.

В приложении YouDrive можно отключить все оповещения, но они отключаются на каждом девайсе отдельно. Злоумышленник будет думать, что отключил их, но владелец аккаунта всё равно получит их все.

Итог: 10 баллов

YouDrive постарался максимально обеспечить безопасность аккаунта пользователя, а в случае чего максимально быстро оповестит владельца аккаунта. Как итог — заслуженное первое место.

Надеюсь, мой анализ обратит внимание операторов на проблемы в безопасности приложений, а пользователей заставит лишний раз задуматься о безопасности своих данных и необходимости использования двухфакторной авторизации.