Canfu'r datblygwr y data ar ôl gwirio'r gwiriad "gwiriadau" - o fis Mawrth gellir olrhain pob un o'u pryniannau a wnaed mewn gwasanaethau rhyngrwyd.
Mae cod ffynhonnell rhai o wasanaethau'r Gwasanaeth Treth Ffederal (FTS) wedi bod mewn mynediad cyhoeddus, a data defnyddwyr ar bryniannau - o dan fygythiad posibl o ollyngiad. Daeth y casgliadau hyn y defnyddiwr "Habra" Anton Piskunov.
Tynnodd y datblygwr sylw at y cais Gwirio "Gwiriadau". Mae'n caniatáu i chi gael a storio gwiriadau arian parod ar ffurf electronig, edrychwch ar gydwybodolrwydd y gwerthwr, anfon cwynion ato ac yn y blaen, adroddwyd i'r FTS.
Gan ddefnyddio'r cais, gall y defnyddiwr sganio'r cod QR ar y siec electronig, sy'n anfon y Datganiad Data Cyllidol (OFD) ar ôl cwblhau'r gorchymyn mewn unrhyw wasanaeth neu siop. Er enghraifft, ar ôl archebu yn Yandex.ied, daeth Piskunov y siec o Yandex Ois.
Ar ôl sganio, mae copi electronig o'r siec gyda data llawn ar y gorchymyn yn ymddangos yn yr atodiad. Ar Fawrth 4, 2021, diweddarodd y datblygwyr "gwiriadau gwirio" trwy ychwanegu'r swyddogaeth "arddangos gwiriadau o'r swyddogaeth" Fy Secks Online "."
Os ydych yn cymryd dilysu yn y cais gwirio "Gwirio Gwirio", gan nodi rhif ffôn ynghlwm wrth y gwasanaethau fel "Yandex.edu", "tacsi", "sgwter" ac eraill, yn yr adran "Fy sieciau" yn arddangos pob siec yn awtomatig Ar gyfer pob gweithrediad yn y gwasanaethau hyn.
Penderfynodd Piskunov wirio sut y cafodd yr holl ddata hyn eu diogelu'n dda. I wneud hyn, rhoddodd yn y bwlch rhwng y Rhyngrwyd a chymhwyso dirprwy syml a, gan gofnodi gweithgarwch rhwydwaith y cais, "yn cael ei garu i mewn i'r botymau."
"Fe drodd allan bod y pwynt pen gyda'r data wedi'i leoli yn y cyfeiriad ickt-mobile.nalog.ruth.ruthe:8888, sy'n byw yr ap symlaf ar NODEJs gan ddefnyddio'r fframwaith penodol. Mae'r mecanwaith dilysu defnyddwyr yn eich galluogi i ddata os gwnaethoch chi nodi'n gywir y pennawd "Sesiwn Sesiynol", y mae gwerth ei docyn hunan-ddeficlog a gynhyrchir ar ochr y gweinydd, "yn ychwanegu Piskunov.
Os ydych chi'n pwyso'r botwm "Ymadael" yn y cais Gwirio "Gwiriadau", nid yw'r anabledd yn digwydd, mae'n parhau. Hefyd, ni all y defnyddiwr weld ei holl sesiynau neu eu cwblhau ar yr holl ddyfeisiau. "Felly, hyd yn oed os ydych rywsut yn deall bod y tocyn mynediad yn cael ei gyfaddawdu, yna nid oes posibilrwydd i'w ailosod a thrwy hynny warantu o'r foment hon y diffyg mynediad ymosodwr arfaethedig at eich data," Mae'r datblygwr yn ysgrifennu.
Bu hefyd yn sylwi bod yn achos Krash y cais, mae'n anfon y data diagnostig yn y Sentry, a leolir yn y cyfeiriad nad oedd yn gysylltiedig, nac o'r FTS, Na Gniivc FTS o Rwsia (y Datblygwr "Gwirio Gwirio" - VC .RU), ac ar y parth sentry .Studiotg.ru.
Wedi hynny, canfu cyfeiriadau at storfeydd cyhoeddus stiwdiotg ar y Gitlab, sydd wedi'u lleoli yn y Mynegai Google, yn ôl y datblygwr, yn fwy na blwyddyn. Yn y storfeydd, cafodd ffolderi sy'n cynnwys addasiadau "lkio", "lkip", "lkul". Maent yn perthyn i'r gwasanaethau o'r un a enwir yn y FTS ar y parth nalog.ru - lkio.nalog.ru, lkip.nalog.ru a lkul.nalog.ru.
"Ar gyfer cymodi bod y ffynonellau a ganfuwyd yn ymwneud â gwasanaethau FTS, gwiriad syml o bresenoldeb y ffeil Uppod-Styles.txt ar weinydd gwe'r frwydr, na allai fod yno yn gyd-ddigwyddiad damweiniol," yn ysgrifennu Piskunov.
Daeth i'r casgliad bod y datblygwr gwirioneddol y gwiriad yn "gwirio" - stiwdiotg. Y wefan "Stiwdio TG", sy'n ymwneud â datblygu TG a datblygu meddalwedd, ymhlith y prosiectau yw "disgrifiad personol y trethdalwr" o'r FTS.
Mae Piskunov hefyd yn credu bod nam y cwmni, cod ffynhonnell y cod gwasanaeth treth mewn mynediad cyhoeddus. Anfonodd Swyddfa Golygyddol VC.RU gais a disgwyl sylwadau gan y FTS a'r TG Stiwdio.
# Newyddion # FTS
Ffynhonnell