Arendaja leidis andmed pärast kontrollimise kontrollimist "Kontrollid" - märtsist võib see jälgida kõiki Interneti-teenuseid tehtud ostusid.
Lähtekood mõned teenuste Federal Maksuteenuse (FTS) on olnud avaliku juurdepääsu ja kasutajate andmete ostud - all võimaliku lekkeohu. Need järeldused tuli kasutaja "HABRA" Anton Pisknov.
Arendaja juhtis tähelepanu kontrolli "Kontroll" rakendus. See võimaldab teil saada ja salvestada rahakontrolli elektroonilisel kujul, kontrollida müüja kohusetundlikkust, saata kaebusi ja nii edasi, teatas FTS-ile.
Kasutades rakenduse kasutamist, saab kasutaja skaneerida QR-koodi elektroonilisel kontrollil, mis saadab pärast tellimuse täitmist iga teenuse või poe tellimuse täitmise. Näiteks pärast Yandex.iedi tellimist tuli Piskunov Yandex OIS-i kontroll.
Pärast skaneerimist ilmub liites elektrooniline koopia koos täielike andmetega tellimuse kohta. 4. märtsil 2021 uuendasid arendajad "Kontrolli kontrollid", lisades "Minu kontrollimise kontrollide kuvamise kontrollimise".
Kui te võtate kontrollida kontrolli "Kontrollige" rakendus, täpsustades telefoninumber lisatud teenused nagu "Yandex.edi", "takso", "roller", "roller" ja teised, "Minu kontrollid" sektsioonis automaatselt kõik kontrollid Kõigi nende teenuste toimingute puhul.
Pisknov otsustas kontrollida, kuidas kõik need andmed hästi kaitstud. Selleks pani ta vahelise vahe Interneti ja lihtsa puhverserveri rakenduse ja rakenduse võrgutegevuse salvestamise, "PUMBLED nuppudesse."
"Selgus, et andmete lõpp-punkt koos andmetega asub aadressil ickt-mobile.Nalog.ru:888, mis elab lihtsaima rakenduse Nodejs'is, kasutades Express Framework. Kasutaja autentimismehhanism võimaldab teil andmeid andmeid, kui te õigesti märkis "Sessionid" päise, mille väärtus on serveri poolel tekkinud iseenesest ebasoodne sünnitus, "lisab Pisknovi.
Kui vajutate kontrolli "Exit" nuppu "Kontroll" rakendus, ei esine sümboolne puude, see jätkub. Ka kasutaja ei näe kõiki oma istungeid ega täitke neid kõikides seadmetes. "Seega, isegi kui sa kuidagi aru saada, et juurdepääsumärk oli ohustatud, siis ei ole võimalik taastada selle ja seega garantii selle hetkega puudumine kavandatud ründaja juurdepääsu oma andmed," arendaja kirjutab.
Ta märkas ka, et taotluse Krashi puhul saadab ta diagnostikaandmeid Sentry'is, mis asuvad aadressil, mis ei ole seotud ega FTS-i, ega FSUE GNIIVC FTS Venemaa (arendaja kontrollimise kontroll "- VC .RU) ja Sentry domeeni .Studotg.ru.
Pärast seda leidis ta viiteid GITLAB-i Studiotgi avalikele hoidlatele, kes asuvad Google'i indeksis vastavalt arendajale, rohkem kui aasta. Tasahoidlates leidis ta kaustu, mis sisaldavad korrigeerimisi "LKIO", "LKIP", "LKUL". Nad kuuluvad domeeni Nalog.ru - LKIO.NALOG.RU, LKIP.NALOG.RU ja LKUL.RU ja LKUL.RU ja LKUL.NALOG.RU sama nimega
"Leppimise jaoks, et tuvastatud allikad on seotud FTS-teenusega, on lahingu veebiserveris oleva UPPOD-stiilis.txt faili olemasolu lihtne kontroll, mis ei saa olla juhusliku juhus," kirjutab Pisknov.
Ta jõudis järeldusele, et kontrolli "Kontrollide" tegelik arendaja - Studotiot. "Studio TG" veebisait, mis tegeleb IT-konsultatsiooni- ja tarkvaraarendusega, projektide hulgas on FTS-i "isiklik konto" isiklik konto ".
Piskunov usub ka, et ettevõtte süü, maksuteenuse koodi lähtekood on üldsuse juurdepääs. VC.RU toimetuse büroo saatis taotluse ja loodab FTS-i ja Studio TG kommentaare.
# Uudised # FTS
Allikas