Geliştirici, yoxlanışını yoxladıqdan sonra məlumatları tapdıqdan sonra - mart ayından etibarən İnternet xidmətlərində edilən bütün alış-verişləri izləmək olar.
Federal Vergi Xidmətinin (FTS) bəzi xidmətlərin bəzi xidmətlərinin mənbəyi ictimai girişdə və alış-verişdə istifadəçilərin məlumatları mümkündür - mümkün təhlükə altında. Bu nəticələr istifadəçi "Habra" Anton Piskunov gəldi.
Geliştirici yoxlanışa diqqət çəkdi "yoxlamalar" tətbiqinə diqqət çəkdi. Pul çeklərini elektron formada əldə etmək və saxlamaq, satıcı tərəfindən vicdanını yoxlamaq, şikayətlər göndərmək və sair FTS-ə bildirilir.
Tətbiqdən istifadə edərək, istifadəçi, hər hansı bir xidmət və ya mağazada sifarişini bitirdikdən sonra maliyyə məlumatlarını (OFD) göndərən elektron çekdəki QR kodunu skan edə bilər. Məsələn, Yandex.ed-də sifariş verildikdən sonra Piskunov Yandex Ois-dən çek gəldi.
Tarama etdikdən sonra, sifariş haqqında tam məlumat olan çekin elektron bir nüsxəsi əlavədə görünür. 4 mart 2021-ci ildə, tərtibatçılar "çeklərin göstərilməsinin" onlayn olaraq "funksiyamdan" əlavə et "funksiyasını əlavə etməklə" yoxlamaları yoxlayın "düyməsini basın.
"Yandex.edii", "taksi", "Scooter", "Mənim çeklərim" və digərləri kimi xidmətlərə əlavə edilmiş bir telefon nömrəsini göstərərək, yoxlanışda identifikasiyasını tətbiq etsəniz, "Çek" tətbiqetməsini, "Çeklərim" bölməsində avtomatik olaraq bütün çekləri avtomatik olaraq göstərəcəkdir Bu xidmətlərin bütün əməliyyatları üçün.
Piskunov bütün bu məlumatların necə qorunduğunu yoxlamaq qərarına gəldi. Bunu etmək üçün İnternet arasındakı boşluğu və sadə bir vəkilin tətbiqi və tətbiqin şəbəkə fəaliyyətini qeyd edərək "düymələrə qapılır."
"Data ilə son nöqtə, Express Çərçivəsindən istifadə edərək Nodejs-də ən sadə tətbiqetmədə yaşayan Ickt-mobile.nalog.Ru: 8888 ünvanında yerləşdiyi məlum oldu. İstifadəçi identifikasiyası mexanizmi, "sessionid" başlığını, dəyərini, server tərəfində yaranan bəzi öz-özünə nöqsan tokenin, "sessiyad" başlığını düzgün göstərdiyiniz təqdirdə məlumatlara imkan verir "dedi Piskunov əlavə edir.
Çekdə "Çıxış" düyməsini basarsanız, "Checks" tətbiqetməsində, əlamətsizlik baş vermir, davam edir. Ayrıca, istifadəçi bütün seanslarını görə bilmir və ya onları bütün cihazlarda tamamlaya bilmir. "Beləliklə, birtəhər giriş tokeninin güzəştə getdiyini başa düşsəniz də, onu yenidən qurmaq imkanı yoxdur və bununla da bu andan məlumatlarınıza nəzərdə tutulan təcavüzkarın çatışmazlığının olmamasıdır" deyə geliştirici yazır.
Tətbiqin Krash vəziyyətində, bu, Sentry-də diaqnostik məlumatları əlaqəli deyil, FTS-dən və ya FSUE GNIIVC FTS-də yerləşən diaqnostik məlumatları göndərir .Ru) və Sentry domenində .studiotg.ru.
Bundan sonra, google indeksində olan Gitlab-da, bir ildən çox olan Gitlab-da Studiotgg ictimai depolarına istinadlar tapdı. Deposiesdə "Lkio", "LKIP", "LKIP", "LKIP" düzəlişləri olan qovluqları tapdı. Onlar Domain Nalalo.ru - Lkio.nalog.ru, Lkip.nalog.ru və Lkul.nogalog.ru-dakı FTS-nin eyni adlı xidmətlərinə aiddirlər.
"Müqəddəs olan mənbələr FTS xidmətlərinə, təsadüfi bir təsadüf ola bilməyən döyüş veb serverindəki Uppod-Styles.txt faylının olmasının sadə bir yoxlanılması ilə əlaqəlidir" dedi Piskunov.
O, yoxlanışın həqiqi inkişaf etdiricisinin "çek" - Studiotg-lərin olduğunu başa çatdırdı. Layihələr arasında İT konsaltinqi və proqram təminatı ilə məşğul olan "Studio TG" veb saytı FTS-dən "vergi ödəyicisinin şəxsi hesabı" dır.
Piskunov, həmçinin şirkətin günahının, vergi xidməti kodunun mənbəyinin mənbəyinin ictimaiyyətinin ictimaiyyətinə aid olduğunu düşünür. VC.RU-nun redaksiyası bir sorğu göndərdi və FTS və Studio TG-nin şərhlərini gözləyir.
# Xəbərlər # FTS
Bir mənbə