La ellaboranto trovis la datumojn post kontrolado de la ĉeko "ĉekojn" - de marto ĝi povas esti spurita ĉiuj iliaj aĉetoj faritaj en interretaj servoj.
La fonta kodo de iuj el la servoj de la Federacia Imposta Servo (FTS) estis en publika aliro, kaj la datumoj de uzantoj pri aĉetoj - sub ebla minaco de fugo. Ĉi tiuj konkludoj venis al la uzanto "Habra" Anton Piskunov.
La programisto atentigis la aplikon "Kontrolu". I permesas vin akiri kaj stoki kontantajn kontrolojn en elektronika formo, kontrolu la konsciencon de la vendisto, sendu plendojn al ĝi kaj tiel plu, raportitaj al la FTS.
Uzante la aplikon, la uzanto povas skani la QR-kodon en la elektronika ĉeko, kiu sendas la fiskan datuman deklaron (OFD) post kompletigado de la mendo en iu ajn servo aŭ vendejo. Ekzemple, post ordigo en Yandex.ied, Piskunov venis la ĉeko de Yandex OIS.
Post skanado, elektronika kopio de la ĉeko kun plenaj datumoj pri la mendo aperas en la apendico. La 4-an de marto, 2021, la programistoj ĝisdatigis "Kontrolu kontrolojn" aldonante la "montriĝon de kontroloj de la funkcio" de miaj kontroloj interrete ".
Se vi aŭtentikigas en la kontrolo "Check Check" apliko, preciziganta telefonnumeron ligita al la servoj kiel "Yandex.edi", "Taksio", "Scooter" kaj aliaj, en la "My Checks" sekcio aŭtomate montros ĉiujn ĉekojn por ĉiuj operacioj en ĉi tiuj servoj.
Piskunov decidis kontroli kiel ĉiuj ĉi tiuj datumoj estis protektitaj bone. Por fari tion, li metis en la interspacon inter la interreto kaj la aplikon de simpla prokurilo kaj, registrante la retan agadon de la aplikaĵo, "Pumbis en la butonojn."
"Rezultis, ke la fina punkto kun la datumoj situas ĉe la adreso Ickt-mobile.naLog.ru:8888, kiu vivas la plej simplan programon pri nodeJs uzante la ekspresan kadron. La uzanta aŭtentikiga mekanismo permesas al vi datumojn, se vi ĝuste indikis la "SessionID" kaplinion, kies valoro estas iu mem-delikata signo generita sur la servila flanko, "aldonas Piskunov.
Se vi premas la butonon "Eliri" en la ĉeko "Kontroloj" aplikaĵo, la tokenan handikapo ne okazas, ĝi daŭras. Ankaŭ, la uzanto ne povas vidi ĉiujn siajn sesiojn aŭ kompletigi ilin en ĉiuj aparatoj. "Tiel, eĉ se vi iel komprenis, ke la alira ĵeto estis kompromitita, tiam ne ekzistas eblo restarigi ĝin kaj tiel garantii de ĉi tiu momento la mankon de intencita atakanto aliro al viaj datumoj," la ellaboranto skribas.
Li ankaŭ rimarkis, ke en la kazo de la Krash de la Apliko, ĝi sendas la diagnozajn datumojn en la Gardostaranto, situanta ĉe la adreso ne rilata, nek de la FTS, nek FSUE Gniiivc FTS de Rusujo (la ellaboranto "Kontroloj Kontrolu" - VC .Ru), kaj sur la gardostacio .Studiotg.ru.
Post tio, li trovis referencojn al la studio-publikaj deponejoj pri la GITLAB, kiuj troviĝas en la Google-indekso, laŭ la ellaboranto, pli ol jaro. En la deponejoj, li trovis dosierujojn enhavantajn ŝanĝojn "lKio", "lkip", "lkul". Ili apartenas al la samaj-nomataj servoj de la FTS sur la Domajno Nalogo.Ru
"Por repaciĝo, ke la detektitaj fontoj rilatas al la FTS-servoj, simpla ĉeko de la ĉeesto de la uppod-stiloj.txt-dosiero en la batalo retejo-servilo, kiu ne povus esti tie hazarda koincido," skribas Piskunov.
Li konkludis, ke la efektiva ellaboranto de la ĉeko "kontroloj" - studiogg. La retejo "Studio TG", kiu okupiĝas pri ĝi konsultanta kaj softvaran evoluon, inter la projektoj estas la "persona raporto pri la impostpaganto" de la FTS.
Piskunov ankaŭ kredas, ke la faŭlto de la kompanio, la fontkodo de la imposto-servo-kodo estas en publika aliro. La redakta oficejo de VC.RU sendis peton kaj atendas komentojn de la FTS kaj Studio TG.
# Novaĵoj # FTS
Fonto