Le développeur a trouvé les données après avoir vérifié le chèque "chèques" - de mars, il peut être traqué tous leurs achats effectués dans les services Internet.
Le code source de certains des services du service fiscal fédéral (FTS) a été dans l'accès public et les données des utilisateurs sur les achats - dans une éventuelle menace de fuite. Ces conclusions ont été l'utilisateur "Habra" Anton Piskunov.
Le développeur a attiré l'attention sur la demande de contrôle "Checks". Il vous permet d'obtenir et de stocker des chèques en espèces sous forme électronique, de vérifier la conscience du vendeur, d'envoyer des plaintes à ce sujet, etc., rapporté à la FTS.
En utilisant l'application, l'utilisateur peut analyser le code QR sur la vérification électronique, qui envoie l'instruction de données fiscal (OFD) après avoir terminé la commande dans n'importe quel service ou magasin. Par exemple, après avoir commandé à Yandex.ied, Piskunov est venu le chèque de Yandex OIS.
Après la numérisation, une copie électronique du chèque avec les données complètes de la commande apparaît dans l'annexe. Le 4 mars 2021, les développeurs ont mis à jour "Vérifier les chèques" en ajoutant "l'affichage des chèques de la fonction" Mes chèques en ligne "."
Si vous prenez une authentification dans l'application Check "Check Check", spécifiez un numéro de téléphone connecté aux services tels que "Yandex.edi", "Taxi", "Scooter" et autres, dans la section "Mes chèques" affichera automatiquement tous les chèques pour toutes les opérations de ces services.
Piskunov a décidé de vérifier comment toutes ces données étaient bien protégées. Pour ce faire, il a mis dans l'écart entre Internet et l'application d'un simple proxy et enregistrant l'activité réseau de l'application ", panoublée dans les boutons".
"Il s'est avéré que le point final avec les données est situé à l'adresse ickt-mobile.alog.ru:8888, qui vit l'application la plus simple sur Nodejs à l'aide du cadre express. Le mécanisme d'authentification de l'utilisateur vous permet de faire des données si vous avez correctement indiqué l'en-tête «SéditionId», la valeur dont le jeton auto-déficient est généré sur le côté serveur », ajoute Piskunov.
Si vous appuyez sur la touche "Quitter" dans l'application "Chèques" de contrôle, le handicap de jeton ne se produit pas, il continue. En outre, l'utilisateur ne peut pas voir toutes ses sessions ou les compléter sur tous les appareils. "Ainsi, même si vous comprenez en quelque sorte que le jeton d'accès a été compromis, il n'est pas possible de le réinitialiser et de garantir ainsi à partir de ce moment le manque d'un accédant à l'attaquant prévu à vos données", écrit le développeur.
Il a également remarqué que, dans le cas de la Krash de l'application, il envoie les données de diagnostic dans la sentinelle, située à l'adresse non liée, ni de la FTS, ni ftsue gniivc fts de Russie (le développeur "chèques de contrôle" - VC .Ru), et sur le domaine sentinelle .studiotg.ru.
Après cela, il a trouvé des références aux dépôts publics Studio sur le gitlab, qui sont situés dans l'index Google, selon le développeur, plus d'un an. Dans les référentiels, il a trouvé des dossiers contenant des ajustements "lkio", "lkip", "lkul". Ils appartiennent aux services de la même nom de la FTS sur le domaine NALOG.RU - LKIO.LOG.RU, LKIP.ALOG.RU et LKUL.NAGOG.RU.
"Pour la réconciliation que les sources détectées se rapportent aux services FTS, une simple vérification de la présence du fichier uppod-styles.txt sur le serveur Web de bataille, qui ne pouvait y être une coïncidence accidentelle", écrit Piskunov.
Il a conclu que le développeur actuel du chèque "chèques" - stuotg. Le site Web "Studio TG", qui est engagé dans le conseil en informatique et le développement de logiciels, parmi les projets constitue le "compte personnel du contribuable" de la FTS.
Piskunov croit également que la faute de la société, le code source du code de service fiscal est en accès public. L'Office éditorial de VC.RU a envoyé une demande et s'attend à ce que les commentaires des FTS et Studio TG.
# Nouvelles # fts
Une source