Ο προγραμματιστής βρήκε τα δεδομένα μετά τον έλεγχο του ελέγχου "Έλεγχοι" - από τον Μάρτιο, μπορεί να εντοπιστεί όλες οι αγορές τους που γίνονται στις υπηρεσίες Διαδικτύου.
Ο πηγαίος κώδικας ορισμένων υπηρεσιών της Ομοσπονδιακής Φορολογικής Υπηρεσίας (FTS) βρίσκεται σε δημόσια πρόσβαση και τα δεδομένα των χρηστών σχετικά με τις αγορές - υπό πιθανή απειλή διαρροής. Αυτά τα συμπεράσματα ήρθαν στον χρήστη "Habra" Anton Piskunov.
Ο προγραμματιστής επέστησε την προσοχή στην εφαρμογή "Έλεγχοι". Σας επιτρέπει να λαμβάνετε και να αποθηκεύετε μετρητά σε ηλεκτρονική φόρμα, ελέγξτε τη συνείδηση του πωλητή, στείλτε παράπονα σε αυτό και ούτω καθεξής, που αναφέρεται στο FTS.
Χρησιμοποιώντας την εφαρμογή, ο χρήστης μπορεί να σαρώσει τον κώδικα QR στον ηλεκτρονικό έλεγχο, το οποίο στέλνει τη δήλωση δημοσιονομικών δεδομένων (OFD) μετά την ολοκλήρωση της παραγγελίας σε οποιαδήποτε υπηρεσία ή κατάστημα. Για παράδειγμα, μετά την παραγγελία στο Yandex.ied, ο Piskunov ήρθε ο έλεγχος από το Yandex Ois.
Μετά τη σάρωση, ένα ηλεκτρονικό αντίγραφο της επιταγής με πλήρη δεδομένα στην παραγγελία εμφανίζεται στο προσάρτημα. Στις 4 Μαρτίου 2021, οι προγραμματιστές ενημέρωσαν "Έλεγχοι ελέγχου" προσθέτοντας την "Εμφάνιση των επιταγών από τη λειτουργία" Checks online ".
Εάν λαμβάνετε έλεγχο ταυτότητας στην εφαρμογή "Έλεγχος ελέγχου", καθορίζοντας έναν αριθμό τηλεφώνου που συνδέεται με τις υπηρεσίες όπως το "Yandex.edi", το "Taxi", το "Scooter" και άλλα, στην ενότητα "My Checks" θα εμφανίζονται αυτόματα όλους τους ελέγχους Για όλες τις λειτουργίες σε αυτές τις υπηρεσίες.
Ο Piskunov αποφάσισε να ελέγξει τον τρόπο με τον οποίο όλα αυτά τα δεδομένα προστατεύονταν καλά. Για να το κάνετε αυτό, έβαλε το χάσμα μεταξύ του Διαδικτύου και της εφαρμογής ενός απλού πληρεξουσίου και, καταγράφοντας τη δραστηριότητα του δικτύου της εφαρμογής, "πλένεται στα κουμπιά".
"Αποδείχθηκε ότι το τελικό σημείο με τα δεδομένα βρίσκεται στη διεύθυνση ickt-mobile.nalog.ru:8888, η οποία ζει την απλούστερη εφαρμογή στους Nodejs χρησιμοποιώντας το Express Framework. Ο μηχανισμός ελέγχου ταυτότητας χρήστη σας επιτρέπει να δεδομένα εάν έχετε δηλώσει σωστά την κεφαλίδα "SessionID", η τιμή του οποίου είναι κάποιο αυτοτελές διακριτικό που παράγεται στην πλευρά του διακομιστή ", προσθέτει ο Piskunov.
Εάν πατήσετε το κουμπί "Έξοδος" στην εφαρμογή "Ελέγξτε" Εφαρμογή ", η αναπηρία του διακριτικού δεν συμβαίνει, συνεχίζεται. Επίσης, ο χρήστης δεν μπορεί να δει όλες τις συνεδρίες του ή να τα ολοκληρώσει σε όλες τις συσκευές. "Έτσι, ακόμη και αν κατάλαβε κατά κάποιο τρόπο ότι το διακριτικό πρόσβασης ήταν συμβιβασμένο, τότε δεν υπάρχει δυνατότητα να το επαναφέρετε και έτσι να εγγυηθεί από αυτή τη στιγμή την έλλειψη μιας επιδιωκόμενης πρόσβασης εισβολέα στα δεδομένα σας", ο προγραμματιστής γράφει.
Παρατήρησε επίσης ότι στην περίπτωση του Krash της προσφυγής, στέλνει τα διαγνωστικά δεδομένα στο Sentry, που βρίσκεται στη διεύθυνση που δεν σχετίζεται, ούτε από το FTS, ούτε FSUE GNIIVC FTS της Ρωσίας (The Developer "Checks Check" - VC .Ru), και στον τομέα Sentry .studiotg.ru.
Μετά από αυτό, βρήκε αναφορές στα δημόσια αποθετήρια Studiotg στο Gitlab, τα οποία βρίσκονται στον ευρετήριο Google, σύμφωνα με τον προγραμματιστή, περισσότερο από ένα χρόνο. Στα αποθετήρια, βρήκε φακέλους που περιέχουν προσαρμογές "lkio", "lkip", "lkul". Ανήκουν στις ίδιες ονομαστικές υπηρεσίες των FTS στον τομέα Nalog.ru - lkio.nalog.ru, lkip.nalog.ru και lkul.nalog.ru.
"Για τη συμφιλίωση ότι οι ανεπιθύμητες πηγές σχετίζονται με τις υπηρεσίες FTS, ένας απλός έλεγχος της παρουσίας του αρχείου Uppod-styles.txt στον διακομιστή Web Battle, το οποίο δεν μπορούσε να είναι μια τυχαία σύμπτωση", γράφει ο Piskunov.
Κατέληξε στο συμπέρασμα ότι ο πραγματικός προγραμματιστής του ελέγχου "Checks" - Studiotg. Η ιστοσελίδα "Studio Tg", η οποία ασχολείται με την ανάπτυξη πληροφορικής και της ανάπτυξης λογισμικού, μεταξύ των έργων είναι ο "προσωπικός λογαριασμός του φορολογούμενου" από το FTS.
Ο Piskunov πιστεύει επίσης ότι το σφάλμα της εταιρείας, ο πηγαίος κώδικας του κώδικα φορολογικής υπηρεσίας βρίσκεται σε δημόσια πρόσβαση. Το συντακτικό γραφείο του VC.RU έστειλε ένα αίτημα και αναμένει σχόλια από το FTS και το Studio Tg.
# Νέα # FTS
Μια πηγή