O desarrollador atopou os datos despois de comprobar a verificación "cheques" - a partir de marzo pódese rastrexar todas as súas compras feitas nos servizos de Internet.
O código fonte dalgúns dos servizos do servizo fiscal federal (FTS) estivo en acceso público e os datos dos usuarios en compras - baixo unha posible ameaza de fuga. Estas conclusións chegaron ao usuario "Habra" Anton Piskunov.
O desarrollador chamou a atención sobre a aplicación de verificación "cheques". Permite obter e almacenar comprobacións en efectivo en forma electrónica, verifique a conciencia do vendedor, envíe queixas a ela e así por diante, informou ao FTS.
Usando a aplicación, o usuario pode escanear o código QR no cheque electrónico, que envía a declaración de datos fiscais (OFD) despois de completar a orde en calquera servizo ou tenda. Por exemplo, despois de ordenar en Yandex.ied, Piskunov chegou a verificación de Yandex Ois.
Despois de escanear, aparece unha copia electrónica do cheque con datos completos sobre a orde no apéndice. O 4 de marzo de 2021, os desenvolvedores actualizaron "Comprobar os cheques" engadindo a función "Pantalla de cheques da función" Os meus cheques en liña "."
Se toma a autenticación na aplicación de verificación de "verificación de verificación", especificando un número de teléfono conectado aos servizos como "yandex.edi", "taxi", "scooter" e outros, na sección "Os meus cheques" mostrarán automaticamente todas as comprobacións Para todas as operacións destes servizos.
Piskunov decidiu comprobar como todos estes datos estaban protexidos ben. Para iso, púxose no espazo entre Internet e a aplicación dun proxy sinxelo e, gravando a actividade da rede da aplicación ", pumbrou os botóns".
"Descubriuse que o punto final cos datos está situado na dirección Ickt-mobile.nalog.ru:8888, que vive a aplicación máis sinxela en Nodejs usando o marco expreso. O mecanismo de autenticación do usuario permítelle datos se indica correctamente o cabeceiro "SessionId", cuxo valor é un token de auto-déficit xerado no lado do servidor ", engade Piskunov.
Se preme o botón "Saír" na aplicación de verificación "CHECKS", a discapacidade de token non ocorre, continúa. Ademais, o usuario non pode ver todas as súas sesións ou completa-las en todos os dispositivos. "Así, mesmo se dalgún xeito entendeu que o token de acceso estaba comprometido, entón non hai posibilidade de restablecela e, así, garantir a partir deste momento a falta dun acceso ao atacante previsto aos seus datos", escribe o desarrollador.
Tamén notou que, no caso do Krash da aplicación, envía os datos de diagnóstico no Sentry, situados no enderezo non relacionado, nin do FTS, nin o FSUE GniivC FTS de Rusia (o desarrollador "Cheques de verificación" - VC .Ru) e no dominio de Sentry .Studiotg.ru.
Despois diso, atopou referencias aos repositorios públicos de Studiotg no Gitlab, que están localizados no índice de Google, segundo o desarrollador, máis dun ano. Nos repositorios, atopou cartafoles que conteñen axustes "LKIO", "LKIP", "lkul". Pertencen aos mesmos servizos de nome do STT no dominio nalog.ru - lkio.nalog.ru, lkip.nalog.ru e lkul.nalog.ru.
"Para a reconciliación que as fontes detectadas se relacionan cos servizos FTS, unha simple comprobación da presenza do ficheiro uppod-styles.txt no servidor web de batalla, que non podería haber unha coincidencia accidental", escribe a Piskunov.
Concluíu que o desenvolvedor real da verificación "Cheques" - Studiotg. O sitio web "Studio TG", que está involucrado no desenvolvemento de TI e desenvolvemento de software, entre os proxectos é a "conta persoal do contribuínte" da FTS.
Piskunov tamén cre que a culpa da empresa, o código fonte do código de servizo fiscal está en acceso público. A oficina editorial de VC.RU enviou unha solicitude e espera que os comentarios do FTS e Studio TG.
# Noticias # fts
Unha fonte