Die ontwikkelaar het die data gevind nadat die tjek "tjeks" nagegaan is - vanaf Maart kan dit al hul aankope in internetdienste opgespoor word.
Die bronkode van sommige van die dienste van die Federale Belastingdiens (FTS) is in openbare toegang, en die data van gebruikers op aankope - onder 'n moontlike bedreiging van lekkasie. Hierdie gevolgtrekkings het die gebruiker "Habra" Anton Piskunov.
Die ontwikkelaar het die aandag gevestig op die tjek "tjeks" aansoek. Dit laat jou toe om kontantkontrole in elektroniese vorm te kry en te stoor, die pligsgetrouheid van die verkoper te kontroleer, klagtes aan en so aan te stuur, aan die FTS gerapporteer.
Deur die aansoek te gebruik, kan die gebruiker die QR-kode op die elektroniese tjek skandeer, wat die fiskale data verklaring (OFD) stuur nadat die bestelling in enige diens of winkel voltooi is. Byvoorbeeld, na die bestelling in Yandex.ied, het Piskunov die tjek van Yandex OIS gekom.
Na die skandering verskyn 'n elektroniese kopie van die tjek met volle data op die bestelling in die aanhangsel. Op 4 Maart 2021 het die ontwikkelaars opgedateer "tjek tjeks" deur die "vertoning van tjeks van die" my tjeks aanlyn "funksie by te voeg.
As u verifikasie in die tjek "Check Check" aansoek doen, spesifiseer 'n telefoonnommer wat aan die dienste soos "Yandex.Edi", "Taxi", "Scooter" en ander, in die afdeling "My tjeks" geheg is, sal outomaties alle tjeks vertoon. Vir alle bedrywighede in hierdie dienste.
Piskrunov het besluit om te kyk hoe al hierdie data goed beskerm is. Om dit te doen, sit hy die gaping tussen die internet en die toepassing van 'n eenvoudige gevolmagtigde en die opneem van die netwerkaktiwiteit van die aansoek, "het in die knoppies gepomp."
"Dit blyk dat die eindpunt met die data by die adres ckt-mobile.nalog.ruie:8888 geleë is, wat die eenvoudigste program op nodusjs gebruik wat die uitdruklike raamwerk gebruik. Die gebruiker se verifikasie meganisme laat jou toe om data te gebruik as jy die "Sessionid" -opskrif korrek aangedui het, waarvan die waarde van 'n self-tekort is wat op die bediener kant gegenereer word, "voeg Piskunov by.
As u die "Exit" -knoppie in die tjek "tjeks" -toepassing druk, kom die token ongeskiktheid nie voor nie, dit gaan voort. Die gebruiker kan ook nie al sy sessies sien of hulle op alle toestelle voltooi nie. "Dus, selfs as jy op een of ander manier verstaan dat die toegangstoken in gevaar gestel is, dan is daar geen moontlikheid om dit te herstel nie en sodoende die gebrek aan 'n beoogde aanvaller toegang tot jou data waarborg," skryf die ontwikkelaar.
Hy het ook opgemerk dat dit in die geval van die Krash van die aansoek die diagnostiese data in die Sentry, geleë is by die adres wat nie verwant is nie, of van die FTS, of FSUE gniivc fts van Rusland (die ontwikkelaar "tjeks tjek" - VC .Ru), en op die Sentry-domein .studiotg.ru.
Daarna het hy verwysings na die studiover-openbare repositories op die Gitlab gevind, wat volgens die ontwikkelaar, meer as 'n jaar in die Google-indeks, geleë is. In die repositories het hy dopgehou wat aanpassings "lkio", "lkip", "lkul" gevind het. Hulle behoort aan dieselfde-naamdienste van die FTS op die domein nalog.ru - lkern.nalog.ru, lkip.nalog.ru en lkul.nalog.ru.
"Vir versoening dat die bespeurde bronne verband hou met die FTS-dienste, 'n eenvoudige tjek van die teenwoordigheid van die Uppod-Styles.txt-lêer op die Slag-webbediener, wat nie 'n toevallige toeval kan wees nie," skryf Piskunov.
Hy het tot die gevolgtrekking gekom dat die werklike ontwikkelaar van die tjek "tjeks" - studiog. Die "Studio TG" webwerf, wat betrokke is by IT-raadgewende en sagteware-ontwikkeling, onder die projekte is die "persoonlike rekening van die belastingpligtige" van die FTS.
Piskunov glo ook dat die maatskappy se skuld, die bronkode van die belastingdienskode in openbare toegang is. Die redaksionele kantoor van VC.ru het 'n versoek gestuur en verwag kommentaar van die FTS en Studio Tg.
# Nuus # fts
N bron