ডেভেলপারটি "চেকস" চেক করার পরে ডেটাটি খুঁজে পেয়েছে - মার্চ থেকে এটি ইন্টারনেট পরিষেবাদিতে তৈরি সমস্ত কেনাকাটা সনাক্ত করা যেতে পারে।
ফেডারেল ট্যাক্স সার্ভিস (এফটিএস) এর কিছু পরিষেবার উৎস কোডটি জনসাধারণের অ্যাক্সেসে রয়েছে এবং ক্রেতাদের সম্ভাব্য হুমকির অধীনে ব্যবহারকারীদের ডেটা রয়েছে। এই সিদ্ধান্তে ব্যবহারকারী "হাব্রার" এন্টন Piskunov এসেছিলেন।
বিকাশকারী চেক "চেক" অ্যাপ্লিকেশনটিতে মনোযোগ আকর্ষণ করে। এটি আপনাকে ইলেকট্রনিক রূপে নগদ চেকগুলি পেতে এবং সঞ্চয় করতে দেয়, বিক্রেতার সৎতা পরীক্ষা করে, এফটিএসের কাছে অভিযোগ করে এবং এফটিএসের কাছে এটি পাঠান।
অ্যাপ্লিকেশনটি ব্যবহার করে, ব্যবহারকারী ইলেক্ট্রনিক চেকের উপর QR কোডটি স্ক্যান করতে পারে, যা কোনও পরিষেবা বা দোকানে অর্ডারটি সম্পন্ন করার পরে আর্থিক ডেটা স্টেটমেন্ট (OFD) পাঠায়। উদাহরণস্বরূপ, Yandex.ied এ অর্ডার করার পরে, Piskunov Yandex Ois থেকে চেক এসেছিলেন।
স্ক্যানিংয়ের পরে, অর্ডারে পূর্ণ ডেটা দিয়ে চেকের একটি ইলেকট্রনিক কপি পরিশিষ্টে প্রদর্শিত হয়। 4 মার্চ, ২0২1 তারিখে, ডেভেলপাররা "আমার চেকগুলি অনলাইন" ফাংশন থেকে চেকগুলি প্রদর্শন "যুক্ত করে" চেক চেক "আপডেট করে।
"আমার চেকস" বিভাগে "yandex.edi", "ট্যাক্সি", "স্কুটার" এবং অন্যান্যগুলির মতো পরিষেবাগুলির সাথে সংযুক্ত একটি ফোন নম্বর উল্লেখ করে আপনি যদি "চেক চেক" অ্যাপ্লিকেশনটি প্রমাণীকরণ করেন তবে স্বয়ংক্রিয়ভাবে সমস্ত চেক প্রদর্শন করবে এই সেবা সব অপারেশন জন্য।
Piskunov কিভাবে এই সব তথ্য ভাল সুরক্ষিত ছিল তা পরীক্ষা করার সিদ্ধান্ত নিয়েছে। এটি করার জন্য, তিনি ইন্টারনেটের মধ্যে ফাঁক এবং একটি সহজ প্রক্সি প্রয়োগের জন্য এবং অ্যাপ্লিকেশনের নেটওয়ার্ক কার্যকলাপ রেকর্ড করা, "বোতামে pumbled"।
"এটি প্রমাণিত হয়েছে যে ডেটাটির সাথে শেষ বিন্দু ickt-mobile.nalog.ru:8888, যা এক্সপ্রেস ফ্রেমওয়ার্ক ব্যবহার করে NODEJS এর সহজতম অ্যাপ্লিকেশনটি রয়েছে। ব্যবহারকারী প্রমাণীকরণ প্রক্রিয়াটি আপনাকে সঠিকভাবে "SessionId" হেডারকে নির্দেশ করে যদি আপনি সঠিকভাবে নির্দেশ করেছিলেন, যার মানটি সার্ভারের পাশে উত্পন্ন কিছু স্ব-deficent টোকেন, "Piskunov যোগ করে।
আপনি যদি চেক "চেক" অ্যাপ্লিকেশনটিতে "প্রস্থান" বোতামটি টিপুন, তবে টোকেন অক্ষমতা ঘটে না, এটি চলতে থাকে। এছাড়াও, ব্যবহারকারী তার সমস্ত সেশন দেখতে বা সমস্ত ডিভাইসে তাদের সম্পূর্ণ করতে পারে না। "এভাবে, আপনি যদি কোনভাবেই বুঝতে পারছেন যে অ্যাক্সেস টোকেনটি আপোস করা হয়েছিল, তারপরে এটি রিসেট করার কোন সম্ভাবনা নেই এবং এই মুহুর্তে আপনার ডেটাতে একটি অভিপ্রায় আক্রমণকারীর অ্যাক্সেসের অভাব রয়েছে," বিকাশকারী লিখেছেন।
তিনি লক্ষ্য করেন যে, আবেদনটির ক্রাশের ক্ষেত্রে, এটি ঠিকানাটি সম্পর্কিত নয়, এফটিএস এবং FSUE GNIEVC FTS এর মধ্যে অবস্থিত ডায়াগনস্টিক ডেটা পাঠায়, না -এস থেকে এবং ফেইসবুক থেকে "- বিকাশকারী" চেক চেক চেক "- VC .Ru), এবং সেন্ট্রি ডোমেইন উপর। Studiotgg.ru।
এর পর, তিনি Google Index- এ অবস্থিত, যা Google Index- এ অবস্থিত, এটি একটি বছরেরও বেশি সময় ধরে গুগল সূচকগুলিতে অবস্থিত। সংগ্রহস্থলে, তিনি ফোল্ডারগুলি "lkio", "lkip", "lkul" সমন্বয় ধারণকারী ফোল্ডার খুঁজে পেয়েছিলেন। তারা ডোমেন NALOG.RU- LKIO.NALOG.RU, LKIP.NALOG.RU এবং LKUL.NALOG.ru এর FTS এর একই নামযুক্ত পরিষেবাগুলির অন্তর্গত।
পিস্কুনভ লিখেছেন, "পুনর্মিলনের জন্য সনাক্ত করা উৎসগুলি FTS পরিষেবাদির সাথে সম্পর্কিত না করে, যুদ্ধ ওয়েব সার্ভারে আপপড-শৈলী। TXT ফাইলের উপস্থিতিটির একটি সহজ চেক, যা সেখানে একটি দুর্ঘটনাজনিত কাকতালীয় হতে পারে না।"
তিনি শেষ করেছেন যে চেকের প্রকৃত বিকাশকারী "চেকস" - স্টুডিওটগ। "স্টুডিও টিজি" ওয়েবসাইট, যা আইটি কনসাল্টিং এবং সফ্টওয়্যার বিকাশে জড়িত, প্রকল্পগুলির মধ্যে FTS থেকে "করদাতার ব্যক্তিগত অ্যাকাউন্ট"।
Piskunov এছাড়াও কোম্পানির দোষ, ট্যাক্স সেবা কোডের উৎস কোড পাবলিক অ্যাক্সেস হয়। VC.ru এর সম্পাদকীয় অফিস একটি অনুরোধ পাঠানো হয়েছে এবং এফটিএস এবং স্টুডিও টিজি থেকে মন্তব্যগুলি প্রত্যাশা করে।
# সংবাদ # FTS
উচ্চ স্বরে পড়া