Programer je pronašao podatke nakon provjere ček "čekova" - od marta može se pratiti sve njihove kupovine u internetskim uslugama.
Izvorni kod nekih od usluga savezne porezne službe (FTS) bio je u javnom pristupu, a podaci korisnika na kupovinu - pod mogućim prijetnjom curenja. Ovi zaključci su stigli korisnik "HAMRA" Anton Piskunov.
Programer je skrenuo pažnju na aplikaciju "Checes". Omogućuje vam dobijanje i pohranjivanje gotovinskih provjera u elektroničkom obliku, provjerite savjesnost prodavača, šaljete pritužbe na njega i tako dalje, prijavljeno na FTS.
Pomoću aplikacije, korisnik može skenirati QR kod na elektroničkom čeku, koji šalje fiskalnu izjavu podataka (OFD) nakon dovršetka narudžbe u bilo kojoj usluzi ili trgovini. Na primjer, nakon narudžbe u Yandexu, Piskunov je došao ček iz Yandex Ois.
Nakon skeniranja, u Dodatku se pojavljuje elektronička kopija čekotka sa punim podacima o narudžbi. 4. marta, 2021. godine, programeri su ažurirali "Provjeri čekove" dodavanjem funkcije "Prikaz čekova iz" Moje provjere na mreži "."
Ako unesete autentifikaciju u aplikaciji "Provjeri provjeru", određujući telefonski broj priključen na usluge poput "Yandex.edi", "Taxi", "skuter" i drugi, u odjeljku "Moje provjere" automatski će prikazati sve čekove Za sve operacije u ovim uslugama.
Piskunov je odlučio provjeriti kako su svi ti podaci bili zaštićeni dobro. Da biste to učinili, stavio je u jaz između interneta i primjenu jednostavnog proxyja i, snimajući mrežnu aktivnost aplikacije ", gurnuo je u tipke."
"Pokazalo se da je krajnja točka s podacima smještena na adresi ICKT-MOBILE.NALOG.RU :8888, koja živi najjednostavnija aplikacija na nodejs koristeći ekspresni okvir. Mehanizam za provjeru autentičnosti za provjeru identiteta omogućava vam podaci ako ste pravilno naznačili zaglavlje "Sessiond", čija je vrijednost neki samorazmjereni token generiran na strani poslužitelja ", dodaje piskunov.
Ako pritisnete tipku "EXIT" u aplikaciji "Provjeri", invalidnost tokena ne dolazi, nastavlja se. Takođe, korisnik ne može vidjeti sve svoje seanse ili ih dovršiti na svim uređajima. "Dakle, čak i ako ste nekako shvatili da je token pristupa ugroženi, tada nema mogućnosti resetiranja i na taj način garantiranje iz ovog trenutka nedostatak predviđenog napadača pristupa vašim podacima", piše programer.
Također je primijetio da u slučaju Krash-a aplikacije šalje dijagnostičke podatke u stražaru, koji se nalazi na adresi koja nije povezana, niti iz FST-a, niti FSUE GNIIVC FTS Rusije (Proverite "Proverite" - VC " .Ru), i na domaćem domenu .Studiotg.ru.
Nakon toga pronašao je reference na javna spremišta Studiotita na Gitlabu, koja se nalaze u Google Indexu, prema programeru, više od godinu dana. U spremištima je pronašao mape koja sadrže podešavanja "LKIO", "LKIP", "LKUL". Pripadaju istog namećenim uslugama FTS-a na domenu Nalog.ru - lkio.nalog.ru, lkip.nalog.ru i lkul.nalog.ru.
"Za pomirenje da se otkriveni izvori odnose na FTS usluge, jednostavan pregled prisutnosti UPPOD-Styles.txt datoteke na bojnom veb serveru, što ne može biti slučajno slučajnost", piše Piskunov.
Zaključio je da stvarni programer čeka "čekovi" - Studiotg. Web stranica "Studio TG", koja se bavi IT savjetovanju i razvojem softvera, među projektima su "lični račun poreznog obveznika" iz FTS-a.
Piskunov takođe smatra da je kriv kompanija, izvorni kod Kodeksa poreznih službi u javnom pristupu. Uredništvo V.C.ru poslao je zahtjev i očekuje komentare FTS-a i studija TG.
# Vijesti # fts
Izvor