Разработчикът намери данните след проверка на проверката "проверки" - от март може да се проследи всичките им покупки, направени в интернет услуги.
Изходният кодекс на някои от услугите на Федералната данъчна услуга (FTS) е в публичен достъп и данните за потребителите на покупки - при евентуална заплаха от изтичане. Тези заключения дойдоха на потребителя "Хабра" Антон Пискунов.
Разработчикът обърна внимание на приложението "Проверка". Тя ви позволява да получавате и съхранявате парични проверки в електронна форма, да проверите съвестността на продавача, изпращайте жалби до него и така нататък, докладвани на FTS.
Използвайки приложението, потребителят може да сканира QR кода на електронната проверка, която изпраща фискалното изявление за данни (OFD) след завършване на поръчката във всяка услуга или магазин. Например, след като поръчате в Yandex.ied, Piskunov дойде чекът от Yandex OIS.
След сканиране, в приложението се появява електронно копие на чека с пълни данни за поръчката. На 4 март 2021 г. разработчиците актуализират "проверките за проверка", като добавят "показване на проверки от функцията" Моите чекове онлайн "."
Ако вземете удостоверяване в приложението "Проверка за проверка", посочете телефонен номер, приложен към услугите като "Yandex.edi", "Taxi", "Scooter" и други, в раздела "Моите чекове" автоматично ще показват всички проверки за всички операции в тези услуги.
Пискунов реши да провери как всички тези данни са защитени добре. За да направите това, той постави пропастта между интернет и приложението на прост прокси и, записвайки мрежовата активност на приложението, "пропадна в бутоните".
"Оказа се, че крайната точка с данните се намира на адрес ickt-mobile.nalog.ru:8888, който живее най-простото приложение на Nodejs, използвайки експресната рамка. Механизмът за удостоверяване на потребителя ви позволява да дадете данни, ако правилно сте посочили заглавния "сесий", чиято стойност е някакъв самоунищен знак, генериран на сървъра, "добавя Пискунов.
Ако натиснете бутона "Изход" в приложението "Проверете", инвалидността на токена не се случва, тя продължава. Също така, потребителят не може да вижда всички свои сесии или да ги завърши на всички устройства. - Така, дори ако някак си разбра, че токен достъп е бил компрометиран, тогава няма възможност да се нулира и по този начин да се гарантира, че липсата на намерения нападател достъп до вашите данни ", пише разработчикът".
Той също така забеляза, че в случая на Краш на заявлението той изпраща диагностичните данни в стража, разположени на адреса, който не е свързан, нито от FTS, нито FSUE GNIIVC FTS на Русия (разработчик "Проверка на проверките" - VC .RU), и в часовия домейн .stuiotg.ru.
След това той открива препратки към обществените хранилища на Студиод на GitLab, които се намират в индекса на Google, според разработчика повече от година. В хранилищата той открива папки, съдържащи корекции "lkio", "lkip", "lkul". Те принадлежат към едно и същите услуги на FTS на домейна nalog.ru - lkio.nalog.ru, lkip.nalog.ru и lkul.nalog.ru.
"За помирение, че откритите източници се отнасят до услугите на FTS, прост проверка на наличието на файла с ъпгорес-styles.txt на бойния уеб сървър, който не може да има случайно съвпадение", пише Пискунов.
Той заключи, че действителният разработчик на чека "проверки" - Студиот. Уебсайтът "Studio TG", който се занимава с ИТ консултиране и разработване на софтуер, сред проектите са "лична сметка на данъкоплатеца" от FTS.
Пискунов също така смята, че вината на компанията, изходният код на Кодекса за данъчни услуги е в публичен достъп. Редакционната служба на VC.RU изпрати искане и очаква коментари от FTS и Studio TG.
# Новини # FTS
Източник