Developer nalezen data po kontrole kontroly "kontroly" - od března lze sledovat všechny své nákupy v internetových službách.
Zdrojový kód některých služeb Federální daňové služby (FTS) byl ve veřejném přístupu a údaje uživatelů o nákupech - za případné hrozby úniku. Toto závěry přišly uživatele "Habra" Anton Piskunov.
Vývojář upozornil na kontrolu "kontroly". To vám umožní získat a ukládat pokladny v elektronické podobě, zkontrolovat svědomitost prodávajícího, odesílat stížnosti na něj a tak dále, hlášeny FTS.
Pomocí aplikace může uživatel skenovat QR kód na elektronické kontrole, který odešle výpis fiskálního data (OFD) po dokončení objednávky v jakékoli službě nebo ukládání. Například po objednání v Yandex.ied, Piskunov přišel šek od Yandex OIS.
Po skenování se v dodatku zobrazí elektronická kopie kontroly s úplnými údaji v objednávce. 4. března 2021, vývojáři aktualizovali "kontrolní kontroly" přidáním funkce "Zobrazení kontroly z funkce" Moje kontroly online "."
Pokud vezmete ověření v aplikaci Zkontrolovat "Zkontrolovat kontrolu", určete telefonní číslo připojené ke službám, jako je "Yandex.edi", "Taxi", "Scooter" a další, v části "Moje kontroly" automaticky zobrazí všechny kontroly pro všechny operace v těchto službách.
Piskunov se rozhodl zkontrolovat, jak byla všechna tato data chráněna dobře. Chcete-li to provést, vložil mezeru mezi internetem a aplikací jednoduchého proxy a zaznamenání síťové aktivity aplikace, "klopýtla do tlačítek."
"Ukázalo se, že koncový bod s daty se nachází na adrese ickt-mobile.nalog.ru:8888, který žije nejjednodušší aplikaci na nodejs pomocí výslovného rámce. Mechanismus ověřování uživatele umožňuje data, pokud jste správně označili záhlaví "Sessesionid", jehož hodnota je nějaký samo-deficentní token generovaný na straně serveru, "dodává Piskunov.
Pokud stisknete tlačítko "Konec" v aplikaci Kontrola "Kontrola", nenachází invalidita tokenu, pokračuje. Uživatel také nemůže vidět všechny své relace nebo je dokončit na všech zařízeních. "Tak, i když nějakým způsobem pochopil, že přístupový token byl ohrožen, pak neexistuje možnost av tomto okamžiku, a tím z tohoto okamžiku zaručit nedostatek zamýšleného útočníka přístup k vašim datům," píše vývojář.
On také si všiml, že v případě Krash aplikace, vysílá diagnostická data v Sentry, která se nachází na adrese, která není příbuzná, ani z FS, ani FSUE GNIIVC FTS Ruska (vývojář "Kontrola kontroly" - VC .Ru) a na hlídací doméně .studiotg.ru.
Poté zjistil odkazy na veřejné úložiště Studiotg na Gitlabu, které jsou umístěny v indexu Google podle developera, více než rok. V úložištích našel složky obsahující úpravy "LKIO", "LKIP", "LKUL". Patří do stejných stránkových služeb FTS na doméně Nalog.ru - LKIO.NALOG.RU, LKIP.NALOG.RU a Lkul.nalog.ru.
"Pro smíření, že zjištěné zdroje vztahují k službám FTS, jednoduchou kontrolu přítomnosti souboru UPPOD-Styles.txt na webovém serveru BATTLE, která by nemohla být náhodná shoda okolností," píše Piskunov.
Došel k závěru, že skutečný vývojář kontroly "kontroly" - studiotg. Mezi projekty "Studio TG", která se zabývá poradenstvem a vývojem softwaru, jsou mezi projekty "osobním popisem daňového poplatníka" z FTS.
Piskunov se také domnívá, že chyba společnosti, zdrojový kód kodexu daně je ve veřejném přístupu. Redakční úřad vc.ru poslal požadavek a očekává komentáře z FTS a Studio TG.
# Novinky # fts
Zdroj