Распрацоўшчык знайшоў дадзеныя пасля праверкі прыкладання «Праверка чэкаў» - з сакавіка ў ім можна адсачыць усе свае пакупкі, зробленыя ў інтэрнэт-сэрвісах.
Зыходны код некаторых сэрвісаў Федэральнай падатковай службы (ФНС) ужо каля года знаходзіцца ў адкрытым доступе, а дадзеныя карыстальнікаў аб пакупках - пад магчымай пагрозай уцечкі. Да такіх высноў прыйшоў карыстач «хабр» Антон Піскуноў.
Распрацоўшчык звярнуў увагу на дадатак «Праверка чэкаў». Яно дазваляе атрымліваць і захоўваць касавыя чэкі ў электронным выглядзе, правяраць добрасумленнасць прадаўца, адпраўляць на яго скаргі і гэтак далей, паведамлялі ў ФНС.
З дапамогай прыкладання карыстальнік можа адсканаваць QR-код на электронным чэку, які дасылае аператар фіскальных дадзеных (ОФД) пасля завяршэння замовы ў якім-небудзь сэрвісе або краме. Напрыклад, пасля замовы ў «Яндекс.Еде» Піскунова прыйшоў чэк ад «Яндэкс ОФД».
Пасля сканавання ў дадатку з'яўляецца электронная копія чэка з поўнымі дадзенымі аб замове. 4 сакавіка 2021 года распрацоўшчыкі абнавілі «Праверку чэкаў», дадаўшы функцыю «адлюстраванне чэкаў з сэрвісу« "Мае Чэкі Онлайн" ».
Калі прайсці аўтэнтыфікацыю ў дадатку «Праверка чэка», паказаўшы нумар тэлефона, прывязаны да сэрвісаў накшталт «Яндекс.Еды», «Таксі», «самакат» і іншым, у падзеле «Мае чэкі» аўтаматычна будуць адлюстраваны ўсе чэкі па ўсіх аперацыях у гэтых сэрвісах.
Піскуноў вырашыў праверыць, як добра абаронены ўсе гэтыя дадзеныя. Для гэтага ён паставіў у разрыў паміж інтэрнэтам і дадаткам просты проксі і, запісваючы сеткавую актыўнасць прыкладання, «патыкаў у кнопкі».
«Высветлілася, што эндпоинт з дадзенымі знаходзіцца па адрасе irkkt-mobile.nalog.ru:8888, на якім жыве найпростае дадатак на NodeJS з ужываннем фреймворка Express. Механізм аўтэнтыфікацыі карыстальніка пускае цябе да дадзеных, калі ты правільна ўказаў загаловак "sessionId", значэнне якога ўяўляе з сябе нейкі самопальный токен, генеравальныя на боку сервера », - дадае Піскуноў.
Калі націснуць кнопку "Выхад", у дадатку «Праверка чэкаў», инвалидации токена не адбываецца, працягвае ён. Таксама карыстальнік не можа паглядзець усе свае сесіі або завяршыць іх на ўсіх прыладах. «Такім чынам, нават калі вы нейкім чынам зразумелі што токен доступу быў скампраметаваны, то няма ніякай магчымасці яго скінуць і тым самым гарантаваць з гэтага моманту адсутнасць у меркаванага зламысніка доступу да вашых дадзеных», - піша распрацоўшчык.
Ён таксама звярнуў увагу, што ў выпадку крэш прыкладання яно адпраўляе дыягнастычныя дадзеныя ў Sentry, які размяшчаецца па адрасе, не звязанага, ні з ФНС, ні з ФГУП ГНИИВЦ ФНС Расіі (распрацоўшчык «Праверка чэкаў» - vc.ru), а на дамен sentry .studiotg.ru.
Пасля гэтага ён знайшоў спасылкі на публічныя рэпазітары StudioTG на GitLab, якія знаходзяцца ў індэксе Google, па словах распрацоўніка, больш за год. У рэпазітарах ён знайшоў папкі, якія змяшчаюць падладкі «lkio», «lkip», «lkul». Яны ставяцца да аднайменным сэрвісаў ФНС на дамене nalog.ru - lkio.nalog.ru, lkip.nalog.ru і lkul.nalog.ru.
«Для зверкі, што знойдзеныя зыходнікі сапраўды ставяцца да сэрвісаў ФНС, праведзена простая праверка наяўнасці на баявым вэб-сэрвэры файла uppod-styles.txt, які не мог там апынуцца па выпадковым супадзенні», - піша Піскуноў.
Ён зрабіў выснову, што фактычны распрацоўшчык прыкладання «Праверка чэкаў» - StudioTG. На сайце «Студыя ТГ», якая займаецца ІТ-кансалтынгам і распрацоўкай ПА, сярод праектаў паказаны «Асабісты кабінет падаткаплацельшчыка» ад ФНС.
Таксама Піскуноў лічыць, што па віне кампаніі, зыходны код сэрвісаў падатковай каля года знаходзіцца ў публічным доступе. Рэдакцыя vc.ru накіравала запыт і чакае каментары ад ФНС і «Студыі ТГ».
# Навіна # ФНС
крыніца