Секретные дыры выдали всё: почему приложения для аренды хранят чужие паспорта

Оказалось, что привычные приложения для аренды машин и самокатов больше похожи на шкафчики в раздевалке без замка: вещи внутри есть, но забрать их может кто угодно. При проверке 13 самых популярных сервисов выяснилось, что в них зияют более 400 уязвимостей, из которых два десятка — совсем критические.

Паспорт в открытом доступе

Проверяющие отмечали, что данные клиентов хранятся так, будто это не документы, а открытки: фотографии паспортов, номера банковских карт и геолокация лежат "поверху", доступные при минимальных усилиях. В эпоху цифровых подписей и бесконтактных платежей такая халатность выглядит почти сюрреалистичной — словно кто-то забыл, что за приложением стоят живые люди с их вполне настоящими документами.

Когда код пишут наспех

Объяснение проблемы тоже не из тех, что внушают спокойствие. Количество дыр в безопасности связывают не только с особенностями самих шеринговых сервисов, но и с тем, как устроены современные мобильные приложения. Их архитектура всё сложнее, а кадры в компаниях всё быстрее меняются. Опытных разработчиков заменяют более дешёвые новички, которые спешат писать код при помощи ChatGPT и других ИИ-инструментов. На выходе получается система, которая работает, но напоминает дом, где стены держатся на скотче.

Удобство против осторожности

Сервисы стремятся быть быстрыми, лёгкими и "дружелюбными" для пользователя, но в погоне за удобством жертвуют самым главным — безопасностью. В итоге человек, уверенный, что арендует машину на вечер, может невольно "арендовать" и риск потерять контроль над собственными данными.