Розробник знайшов дані після перевірки додатку «Перевірка чеків» - з березня в ньому можна відстежити всі свої покупки, зроблені в інтернет-сервісах.
Вихідний код деяких сервісів Федеральної податкової служби (ФПС) вже близько року знаходиться у відкритому доступі, а дані користувачів про покупках - під можливою загрозою витоку. Такі висновки зробив користувач «Хабра» Антон Піскунов.
Розробник звернув увагу на додаток «Перевірка чеків». Воно дозволяє отримувати і зберігати касові чеки в електронному вигляді, перевіряти сумлінність продавця, відправляти на нього скарги і так далі, повідомляли в ФНС.
За допомогою програми користувач може відсканувати QR-код на електронному чеку, який надсилає оператор фіскальних даних (ОФД) після завершення замовлення в будь-якому сервісі або магазині. Наприклад, після замовлення в «Яндекс.Еде» Піскунова прийшов чек від «Яндекс ОФД».
Після сканування в додатку з'являється електронна копія чека з повними даними про замовлення. 4 березня 2021 року розробники оновили «Перевірку чеків», додавши функцію «відображення чеків з сервісу« "Мої Чеки Онлайн" ».
Якщо пройти аутентифікацію в додатку «Перевірка чека», вказавши номер телефону, прив'язаний до сервісів на зразок «Яндекс.Еди», «Таксі», «Самокат» і іншим, в розділі «Мої чеки» автоматично будуть відображені всі чеки по всіх операціях в цих сервісах.
Піскунов вирішив перевірити, як добре захищені всі ці дані. Для цього він поставив в розрив між інтернетом і додатком простий проксі і, записуючи мережеву активність додатки, «потикав в кнопки».
«З'ясувалося, що ендпоінт з даними знаходиться за адресою irkkt-mobile.nalog.ru:8888, на якому живе просте застосування на NodeJS із застосуванням фреймворка Express. Механізм аутентифікації користувача пускає тебе до даних, якщо ти вірно вказав заголовок "sessionId", значення якого представляє з себе якийсь самопальний токен, генерований на стороні сервера », - додає Піскунов.
Якщо натиснути кнопку «Вийти» в додатку «Перевірка чеків», інвалідаціі токена не відбувається, продовжує він. Також користувач не може переглянути всi свої сесії або завершити їх на всіх пристроях. «Таким чином, навіть якщо ви якимось чином зрозуміли що токен доступу був скомпрометований, то немає ніякої можливості його скинути і тим самим гарантувати з цього моменту відсутність у передбачуваного зловмисника доступу до ваших даних», - пише розробник.
Він також звернув увагу, що в разі креш додатки воно відправляє діагностичні дані в Sentry, розташований за адресою, яка не пов'язана, ні з ФНС, ні з ФГУП ГНІІВЦ ФНС Росії (розробник «Перевірка чеків» - vc.ru), а на домен sentry .studiotg.ru.
Після цього він знайшов посилання на публічні репозиторії StudioTG на GitLab, які знаходяться в індексі Google, за словами розробника, більше року. У репозиторіях він знайшов папки, що містять підстроювання «lkio», «lkip», «lkul». Вони відносяться до однойменних сервісів ФНС на домені nalog.ru - lkio.nalog.ru, lkip.nalog.ru і lkul.nalog.ru.
«Для звірки, що виявлені вихідні дійсно відносяться до сервісів ФНС, проведена проста перевірка наявності на бойовому веб-сервері файлу uppod-styles.txt, який не міг там опинитися за випадковим збігом», - пише Піскунов.
Він зробив висновок, що фактичний розробник програми «Перевірка чеків» - StudioTG. На сайті «Студія ТГ», яка займається ІТ-консалтингом і розробкою ПЗ, серед проектів вказано «Особистий кабінет платника податків» від ФНС.
Також Піскунов вважає, що з вини компанії, вихідний код сервісів податкової близько року знаходиться в публічному доступі. Редакція vc.ru направила запит і очікує коментарі від ФНС і «Студії ТГ».
# Новина # ФНС
джерело