Der Entwickler fand die Daten nach der Überprüfung des Schecks "Checks" - ab März kann er alle in Internet-Services erstellten Einkäufe befolgt werden.
Der Quellcode einiger der Dienstleistungen des Bundessteuerdienstes (FTS) war in öffentlicher Zugang und die Daten der Nutzer auf Einkäufe - unter einer möglichen Androhung von Leckagen. Diese Schlussfolgerungen kamen den Benutzer "Habra" Anton Piskunov.
Der Entwickler hat auf den Scheck "Prüft" aufmerksam gemacht. Es ermöglicht Ihnen, Bargeldkontrollen in elektronischer Form zu erhalten und zu speichern, die Gewissenhaftigkeit des Verkäufers zu überprüfen, Beschwerden an ihn zu senden, und so weiter, berichtet an den FTS.
Mit der Anwendung kann der Benutzer den QR-Code auf der elektronischen Überprüfung scannen, wodurch die Steuerungsdaten-Anweisung (OFD) nach Abschluss der Bestellung in einem beliebigen Dienst oder Laden sendet. Nach der Bestellung in Yandex.ied kam Piskunov zum Beispiel den Scheck von Yandex Ois.
Nach dem Scannen erscheint eine elektronische Kopie der Prüfung mit vollständigen Daten in der Reihenfolge in der Anlage. Am 4. März 2021 aktualisiert die Entwickler "Check-Checks", indem Sie die "Anzeigen von Prüfungen von den" My-Checks Online-Funktion "hinzufügen.
Wenn Sie die Authentifizierung im Scheck "Check Check" -Anwendung annehmen, geben Sie eine Telefonnummer an, die an die Dienste wie "yandex.edi", "Taxi", "Roller" und andere angehängt ist, angeben, in dem Abschnitt "My Checks" automatisch alle Schecks anzeigt Für alle Operationen in diesen Diensten.
Piskunov hat beschlossen, zu überprüfen, wie alle diese Daten gut geschützt wurden. Dazu steckte er die Lücke zwischen dem Internet und der Anwendung eines einfachen Proxys und der Aufzeichnung der Netzwerkaktivität der Anwendung "in die Knöpfe".
"Es stellte sich heraus, dass sich der Endpunkt mit den Daten an der Adresse ickt-mobile.nalog.ru:8888 befindet, die die einfachste App auf Nodejs mit dem Express-Framework lebt. Mit dem Benutzerauthentifizierungsmechanismus können Sie Daten an Daten angeben, wenn Sie den Header "SessionID" korrekt angeben, dessen Wert ein selbst defizierter Token ist, das auf der Serverseite erzeugt wird, "fügt Piskunov hinzu.
Wenn Sie die Taste "EXIT" in der Anwendung prüfen "Prüftaste" drücken, tritt die Token-Behinderung nicht auf, es fährt fort. Der Benutzer kann auch nicht alle Sitzungen sehen oder sie auf allen Geräten abschließen. "Selbst wenn Sie irgendwie verstanden haben, dass das Zugangsstoken beeinträchtigt wurde, besteht keine Möglichkeit, es zurückzusetzen, und garantieren dadurch aus diesem Moment, dass der Fehlen eines bestimmten Angreifers Zugang zu Ihren Daten," der Entwickler schreibt.
Er bemerkte auch, dass er im Falle des KRASH der Anwendung die Diagnosedaten in den von der Adresse befindlichen Adresse, nicht zusammenhängend, noch von der FTS, noch FSUE GNIIVC FTS Russlands (der Entwickler "Checks Checks check sendet, sendet - vc .RU), und auf der Sentry-Domäne .studiotg.ru.
Danach fand er Referenzen auf die studiogen öffentlichen Repositorys auf dem Gitlab, die sich im Google Index befindet, nach dem Entwickler, mehr als ein Jahr. In den Repositorys fand er Ordner, die Anpassungen "LKIO", "LKIP", "Lkul" enthalten. Sie gehören zu denselben naturgenannten Diensten der FTS auf der Domain nalog.ru-lkio.nalog.ru, lkip.nalog.ru und lkul.nalog.ru.
"Für die Versöhnung, dass sich die erkannten Quellen auf die FTS-Dienste beziehen, eine einfache Prüfung des Vorhandenseins der UPPOD-styles.txt-Datei auf dem Battle-Webserver, der kein zufälliges Zufall darstellt," schreibt Piskunov.
Er kam zu dem Schluss, dass der eigentliche Entwickler des Schecks "Checks" - studiog. Die "Studio TG" -Website, die in der IT-Beratung und der Softwareentwicklung tätig ist, ist das "persönliche Bericht des Steuerpflichtigen" von der FTS.
Piskunov glaubt auch, dass der Fehler des Unternehmens, der Quellcode des Steuerservicecodes öffentlich zugänglich ist. Das Redaktionsbüro von vc.ru sandte eine Anfrage und erwartet Kommentare aus dem FTS- und Studio TG.
# News # FTS
Eine Quelle