Udvikleren fandt dataene efter at have kontrolleret checken "Checks" - fra marts kan det spores alle deres køb foretaget i internettjenester.
Kildekoden for nogle af Tjenesterne i Federal Tax Service (FTS) har været i offentlig adgang og data fra brugere om køb - under en mulig trussel om lækage. Disse konklusioner kom brugeren "Habra" Anton Piskunov.
Udvikleren henledte opmærksomheden på checks "-programmet. Det giver dig mulighed for at få og gemme kontantkontrol i elektronisk form, kontrollere sælgerens samvittighedsfulde, sende klager til det og så videre, rapporteret til FTS.
Ved hjælp af programmet kan brugeren scanne QR-koden på den elektroniske check, som sender Fiscal Data-erklæringen (OFD) efter afslutningen af ordren i enhver tjeneste eller butik. For eksempel, efter bestilling i Yandex.ied, kom Piskunov checken fra Yandex Ois.
Efter scanning vises en elektronisk kopi af checken med fulde data på ordren i tillægget. Den 4. marts 2021 opdaterede udviklerne "Check Checks" ved at tilføje funktionen "Visning af checks fra" My Checks Online "."
Hvis du tager godkendelse i programmet Check "Check Check", angives et telefonnummer, der er knyttet til de tjenester som "Yandex.edi", "Taxi", "Scooter" og andre, i afsnittet "My Checks" viser automatisk alle checks For alle operationer i disse tjenester.
Piskunov besluttede at kontrollere, hvordan alle disse data blev beskyttet godt. For at gøre dette satte han i kløften mellem internettet og anvendelsen af en simpel proxy og registrerer netværksaktiviteten af applikationen, "pumbled i knapperne."
"Det viste sig, at slutpunktet med dataene er placeret på adressen itct-mobile.nalog.Ru:8888, som lever den enkleste app på Nodejs ved hjælp af den udtrykkelige ramme. Brugerautentificeringsmekanismen giver dig mulighed for at data, hvis du korrekt angav "SessionID" -overskriften, hvis værdi er nogle selvfattige token genereret på serversiden, "tilføjer Piskunov.
Hvis du trykker på "EXIT" -knappen i checken "Checks" -programmet, forekommer token handicap ikke, den fortsætter. Også brugeren kan ikke se alle dens sessioner eller fuldføre dem på alle enheder. "Således, selvom du på en eller anden måde forstod, at adgangstoken blev kompromitteret, er der ikke mulighed for at nulstille det og dermed garantere fra dette øjeblik manglen på en tilsigtet angriberadgang til dine data," udvikler udvikleren.
Han bemærkede også, at i tilfælde af ansøgningen af ansøgningen sender de diagnostiske data i Sentry, der er placeret på adressen, der ikke er relateret eller fra FTS, eller FSUE GNIIVC FTS i Rusland (Developer "Checks Check" - VC .Ru), og på Sentry Domain .studiotg.ru.
Derefter fandt han referencer til Studiotg Offentlige Repositories på GITLAB, som er placeret i Google-indekset, ifølge udvikleren, mere end et år. I repositorerne fandt han mapper indeholdende justeringer "LKIO", "LKIP", "LKUL". De tilhører de samme nameed-tjenester af FTS på domænet nalog.ru - lkio.nalog.ru, lkip.nalog.ru og lkul.nalog.ru.
"For forsoning, at de registrerede kilder vedrører FTS-tjenesterne, en simpel kontrol af tilstedeværelsen af Uppod-Styles.txt-filen på kampwebserveren, som ikke kunne være der en utilsigtet tilfældighed," skriver Piskunov.
Han konkluderede, at den faktiske udvikler af checken "checks" - studiotg. "Studio TG" -webstedet, som er involveret i it-konsulent og softwareudvikling, blandt projekterne er "skattepligtige" personlige redegørelser "fra FTS.
Piskunov mener også, at selskabets fejl, kildekoden for skattelokalet er i offentlig adgang. VC.RU's redaktionelle kontor sendte en anmodning og forventer kommentarer fra FTS og Studio TG.
# NYHEDER # FTS
En kilde.