De ûntwikkelder fûn de gegevens nei it kontrolearjen fan 'e cheque "Checks" - fan maart kin it al har oankeapen makke wurde makke yn ynternettsjinsten.
De boarnekoade fan guon fan 'e tsjinsten fan' e Federale Tax Service (FTS) hat yn iepenbiere tagong west, en de gegevens fan brûkers op oankeapen - ûnder in mooglike bedriging fan lekkage. Dizze konklúzjes kamen de brûker "Habra" Anton Piskunov.
De ûntwikkelder dreech de oandacht oan 'e kontrôle "Checks" applikaasje. It lit jo cashkontrôles krije en opslaan yn elektroanyske foarm, kontrolearje de geweker fan 'e ferkeaper, stjoer de klachten nei it ensafuorthinne, rapporteare oan' e FTS.
Mei de applikaasje brûke, kin de brûker de QR-koade scannen op 'e elektroanyske kontrôle, dy't de fiskale gegevensferklearring (OFD) stjoert nei it foltôgjen fan' e bestelling yn elke tsjinst of winkel. Bygelyks, nei it bestellen yn Yandex.ied Piskunov de kontrôle kaam fan Yandex Ois.
Nei it skennen, in elektroanyske kopy fan 'e kontrôle mei folsleine gegevens op' e bestelling ferskynt yn 'e appendiks. Op 4 maart 2021 bywurke de ûntwikkelders "Kontrolearje kontrôles" troch it tafoegjen fan it tafoegjen fan de "MY-kontrôles online" Funksje. "
As jo ferifikaasje nimme yn 'e cheque "Kontrolearje Kontrolearje", spesifisearje dan in tillefoannûmer oan' e tsjinsten, lykas "Yandex.edi", "Scooter" en oaren, yn 'e "myn kontrôles" sil automatysk alle kontrôles automatysk werjaan Foar alle operaasjes yn dizze tsjinsten.
Piskunov besleat om te kontrolearjen hoe't al dizze gegevens goed beskerme waarden. Om dit te dwaan, sette hy yn 'e gap tusken it ynternet en de tapassing fan in ienfâldige proxy en opname fan' e netwurkaktiviteit fan 'e applikaasje, "pompele yn' e knoppen."
"It die bliken dat it einpunt mei de gegevens op it adres is te finen op it adres-oanfloka.ru:8888, dy't de simpelste app libbet op knooppunt mei it útdruklike ramt. De meganisme fan 'e brûkersferifikaasje lit jo gegevens oanjaan as jo de koptekst "oanjûn hawwe, de wearde fan' e wearde fan dat wat sels-tekoart oan 'e serverkant is," foeget Piskunov oan.
As jo op 'e knop "ôfslach" drukke op de applikaasje "Checks", dan is de Token-beheining net foarkommen, it giet troch. De brûker kin de brûker net alle syn sesjes sjen of foltôgje se op alle apparaten. "Sa is, sels as jo op ien of oare manier begrepen dat it tagongsputisit koe wurde kompromitteare, dan is d'r gjin mooglikheid om it te werjaan en dêrmei garandearje it gebrek oan in beëindige oanfaller tagong ta jo gegevens," skriuwt de ûntwikkelder.
Hy fernaam dat ek yn 't gefal fan' e krassing fan 'e kranen, it stjoert de diagnostyske gegevens yn' e Sentry, en leit op it adres net relatearre, noch fan 'e FSUE GNIIVC FTS fan Ruslân (de ûntwikkelders "Checks Check" Checklick "Checks Check" .U), en op it sentry-domein. Stiendiotg.ru.
Hjirnei fûn hy ferwizings nei de studiotp publike repositories op 'e Gitlab, dy't yn' e Google-yndeks lizze, neffens de ûntwikkelder, mear as in jier. Yn 'e repositories fûn hy mappen mei oanpassingen "LKIO", "Lkip", "Lkul". Se hearre ta deselde tsjinsten fan 'e FTS op it domein, - Lkio.nalog..alog.Lialog.ru en lkul.nalog..
"Foar fermoedsoening dat de ûntdekte boarnen relatearje oan 'e FTS-tsjinsten, in ienfâldige kontrôle fan' e opkomst fan 'e UPPOD-Styles.txt-bestân op' e Battle Websering, dat net kin wêze," skriuwt Piskunov.
Hy konkludeare dat de eigentlike ûntwikkelder fan 'e kontrôle "Checks" - studiotg ". De webside "Studio TG", dat is dwaande mei it rieplachte en software-ûntwikkeling, ûnder de projekten binne it "persoanlike akkount fan 'e belestingbeteller" fan' e FTS.
Piskunov leaut ek ek dat de skuld fan it bedriuw, de boarnekoade fan 'e belestingtsjinst koade is yn publike tagong. It redaksje-kantoar fan VC.Krjochte in fersyk en ferwachtet opmerkingen fan 'e FTS en Studio TG.
# Nijs # fts
In boarne