El desenvolupador va trobar les dades després de comprovar el xec "xecs" - de març es pot traçar totes les seves compres realitzades en serveis d'Internet.
El codi font d'alguns dels serveis del Servei Fiscal Federal (FTS) ha estat en l'accés públic i les dades dels usuaris en compres - sota una possible amenaça de fuites. Aquestes conclusions van arribar a l'usuari "Habra" Anton Piskunov.
El desenvolupador va cridar l'atenció sobre la sol·licitud de xec "comprova". Li permet obtenir i emmagatzemar xecs en efectiu en forma electrònica, comprovar la consciència del venedor, enviar queixes a ell, etc., va informar a la FTS.
Utilitzant l'aplicació, l'usuari pot escanejar el codi QR a la comprovació electrònica, que envia la declaració de dades fiscal (OFD) després de completar la comanda en qualsevol servei o botiga. Per exemple, després d'ordenar a Yandex.ied, Piskunov va arribar el xec des de Yandex OIS.
Després de l'exploració, una còpia electrònica de la comprovació amb dades completes de la comanda apareix a l'apèndix. El 4 de març de 2021, els desenvolupadors han actualitzat "Comprova les comprovacions" afegint la "visualització de xecs de la funció" My Checks Online "."
Si feu autenticació a la sol·licitud de xec "Check Check", especificant un número de telèfon connectat als serveis com "Yandex.edi", "Taxi", "Scooter" i altres, a la secció "My Checks" mostrarà automàticament totes les comprovacions Per a totes les operacions en aquests serveis.
Piskunov va decidir comprovar com totes aquestes dades estaven protegides bé. Per fer-ho, va posar en la bretxa entre Internet i l'aplicació d'un simple proxy i, enregistrar l'activitat de la xarxa de l'aplicació, "es va bolcar als botons".
"Va resultar que el punt final amb les dades es troba a l'adreça iickt-mobile.nalog.ru:8888, que viu l'aplicació més senzilla de NodeJS utilitzant el marc exprés. El mecanisme d'autenticació de l'usuari us permet obtenir dades si heu indicat correctament la capçalera "SessionID", el valor del qual és un testimoni auto-deficent generat al costat del servidor ", afegeix Piskunov.
Si premeu el botó "Surt" a la sol·licitud de xec "xecs", la discapacitat del testimoni no es produeix, continua. A més, l'usuari no pot veure totes les seves sessions ni completar-les en tots els dispositius. "Així, fins i tot si s'entén d'alguna manera que el testimoni d'accés es va veure compromesa, llavors no hi ha possibilitat de restablir-la i garantir-la per tant d'aquest moment la manca d'un atacant d'un atac a les vostres dades", escriu el desenvolupador.
També es va adonar que en el cas de la Krash de l'aplicació, envia les dades de diagnòstic a la sentinella, situada a l'adreça no relacionada, ni de la FTS, ni FSUE GNIIVC FTS de Rússia (el desplaçament del desenvolupador "- VC .Ru), i al domini de Sentry .studiotg.ru.
Després d'això, va trobar referències als dipòsits públics STUDIOTG del Gitlab, que es troben a l'índex de Google, segons el desenvolupador, més d'un any. En els dipòsits, va trobar carpetes que contenen ajustaments "Lkio", "Lkip", "Lkul". Pertanyen als serveis del mateix nom dels FTS sobre el domini Nalog.ru - lkio.nalog.ru, lkip.nalog.ru i lkul.nalog.ru.
"Per a la reconciliació que les fonts detectades es relacionen amb els serveis FTS, una simple comprovació de la presència del fitxer UPPOD-STYLES.TXT al servidor web de batalla, que no podia estar allà una coincidència accidental", escriu Piskunov.
Va concloure que el desenvolupador real del xec "comprova" - STUDIOTG. El lloc web "Studio TG", que es dedica a la consultoria i el desenvolupament de programari, entre els projectes és el "compte personal del contribuent" de la FTS.
Piskunov també creu que la falla de la companyia, el codi font del codi de servei fiscal està en accés públic. L'oficina editorial de VC.RU va enviar una sol·licitud i espera comentaris de la FTS i de l'estudi TG.
# Notícies # fts
Una font