Garatzaileak aurkitu du datuak "txekeak" egiaztatu ondoren, martxotik Interneteko zerbitzuetan egindako erosketa guztiak aurki daitezke.
Zerga Zerbitzu Federalaren (FTS) zerbitzu batzuen iturburu kodea sarbidea publikoan egon da eta erabiltzaileen erosketetan dauden erabiltzaileen datuak - ihesaren mehatxu posible baten azpian. Ondorio hauek "Habra" Anton Piskunov erabiltzailea etorri zen.
Garatzaileak arreta jarri zuen "Txekeak" aplikazioari. Eskudirutan txekeak modu elektronikoan eskuratu eta gordetzeko aukera ematen du, saltzailearen kontzientzia egiaztatzea, kexak bidali eta abar bidali, FTS-ri jakinarazi.
Aplikazioa erabiliz, erabiltzaileak QR kodea eskaneatu dezake txeke elektronikoan, Datu Fiskalaren aitorpena (OFD) bidaltzen duena, edozein zerbitzu edo dendatan eskaera amaitu ondoren. Adibidez, Yandex.ied-en agindua eman ondoren, Piskunovek Yandex OIS-en txekea etorri zen.
Eskaneatu ondoren, eskaeraren datu osoak dituen txekearen kopia elektronikoa agertzen da eranskinean. 2021eko martxoaren 4an, garatzaileek "egiaztatu kontrolak" eguneratu zituzten "txekeen bistaratzea" nire txekeak "funtzioa gehituz."
Txekean autentikazioa hartzen baduzu "Egiaztatu", "Yandex.edi", "Taxi", "Scooter" bezalako telefono zenbaki bat zehazten baduzu, "Scooter" eta beste batzuek, "Nire txekeak" atalean automatikoki kontrol guztiak bistaratuko dituzte Zerbitzu hauetako eragiketa guztietarako.
Piskunov-ek erabaki zuen datu horiek guztiak ondo babesten ziren egiaztatzea. Horretarako, Interneten arteko hutsunea eta proxy sinple bat aplikatzeko eta aplikazioaren sareko jarduera grabatzen ditu, "botoietan sartu".
"Datuarekiko amaierako helburuak ixt-mobile.nalog.ru:8888 helbidean kokatuta dagoela adierazi du, espresio esparrua erabiliz nodojetan aplikazio sinpleena bizi dela. Erabiltzailearen autentifikazio mekanismoak datuak "saio" goiburua behar bezala adierazten baduzu, balioaren alboan sortutako token auto-defizitua da, "gehitzen du Piskunovek.
"Irten" botoia kontrolatzen baduzu, "Egiaztapenak" aplikazioan, token ezgaitasuna ez da gertatzen, jarraitzen du. Gainera, erabiltzaileak ezin ditu saio guztiak ikusi edo gailu guztietan osatu. "Horrela, nolabait ulertzen baduzu, sarbidea token konprometituta zegoela ulertu ez baduzu, ez da berrabiarazteko eta, beraz, une honetatik aurrera zure datuetara sartzeko asmorik gabekoa ez izatea", idazten du garatzaileak.
Aplikazioaren Krash kasuan ere nabaritu zuen, diagnostiko datuak bidaltzen dituela, erlazionatutako helbidean, ezta FTS-en, ezta FTS-en ereduen), "Garatzailearen egiaztagiria" - VC .Ru) eta Sentry domeinuan .studiotg.ru.
Horren ostean, Gitlab-en, Gitlab-en, Gitlab-en, garatzailearen arabera, Gitlab-en, Gitlab-en, urtebete baino gehiago aurkitu zituen. Biltegietan, "LKIP", "LKIP" doikuntzak dituzten karpetak aurkitu zituen "LKUL". Nalog.ru - LKIP.Nalog.ru eta lkul.nalog.ru domeinuko fts-en izen berekoak dira.
"Detektatutako iturriek FTS zerbitzuekin erlazionatzeko adiskidetzeagatik, UPPOD-Styles.txt fitxategiaren presentzia sinplea da, borroka web zerbitzarian, ezin izan baitira ustekabeko kasualitaterik", idazten du Piskunovek.
Kontrolaren "txekeak" egiaztatzen duen garatzailearen benetako garatzailea amaitu zen. Proiektuen artean "estudioko TG" webgunea, "Studio TG" webgunea, proiektuaren artean "zergadunaren kontu pertsonala" da FTS-tik.
Piskov-ek ere uste du enpresaren errua, zerga zerbitzuaren kodearen iturburu kodea sarbide publikoan dagoela. VC.RUko Erredakzio Bulegoak eskaera bat bidali du eta FTS eta Studio TG-ren iruzkinak espero ditu.
# Albisteak # fts
Iturri