משתמש "הברורה" נמצא בגישה הציבורית קוד המקור של מספר שירותי מס - הוא פתוח במשך כשנה

היזם מצא את הנתונים לאחר בדיקת ההמחאה "המחאות" - ממרץ ניתן לעקוב אחר כל רכישותיהם שנעשו בשירותי אינטרנט.

קוד המקור של חלק מהשירותים של שירות המס הפדרלי (FTS) נמצא בגישה ציבורית, ונתוני משתמשים על רכישות - תחת איום אפשרי של דליפה. מסקנות אלה הגיעו למשתמש "הברה" אנטון piskunov.

היזם הפנה את תשומת הלב ליישום "המחאות". זה מאפשר לך לקבל ולאחסן בדיקות מזומנים בצורה אלקטרונית, לבדוק את המצפון של המוכר, לשלוח תלונות על זה וכן הלאה, דיווחו על FTS.

באמצעות היישום, המשתמש יכול לסרוק את קוד QR בדיקה אלקטרונית, אשר שולח את הצהרת הנתונים הפיסקלית (OFD) לאחר השלמת ההזמנה בכל שירות או חנות. לדוגמה, לאחר ההזמנה ב Yandex.ID, Piskunov באה לבדוק מ Yandex Ois.

לאחר סריקה, עותק אלקטרוני של המחאה עם נתונים מלאים על הסדר מופיע בנספח. ב -4 במרץ 2021, היזמים עודכנו "בדיקות" על ידי הוספת "תצוגת המחאות של" המחאות שלי באינטרנט "פונקציה."

אם אתה לוקח אימות ביישום "בדוק" בדיקה ", המציין מספר טלפון המצורף לשירותים כגון" Yandex.edi "," מונית "," קטנוע "ואחרים, בסעיף 'בדיקות' שלי יציג באופן אוטומטי את כל המחאות עבור כל הפעולות בשירותים אלה.

"המחאות שלי" ביישום "בדיקות לבדוק"

Piskunov החליט לבדוק איך כל הנתונים האלה מוגנים היטב. כדי לעשות זאת, הוא הכניס את הפער בין האינטרנט לבין יישום של פרוקסי פשוט, והקלטת פעילות הרשת של הבקשה, "מתלבשת לתוך הכפתורים".

"התברר כי נקודת הקצה עם הנתונים ממוקמת בכתובת ickt-mobile.nalog.ru:8888, אשר חי את היישום הפשוט ביותר על Nodejs באמצעות מסגרת אקספרס. מנגנון אימות המשתמש מאפשר לך לנתונים אם אתה צוין כראוי את כותרת "SoundID", הערך של איזו אסימון עצמי שנוצר בצד השרת, "מוסיף piskunov.

אם תלחץ על הלחצן "יציאה" ביישום הסימון "בודק", נכות האסימון אינה מתרחשת, היא ממשיכה. כמו כן, המשתמש אינו יכול לראות את כל הפגישות שלו או להשלים אותם בכל המכשירים. "לכן, גם אם אתה איכשהו הבין כי אסימון הגישה נפגעת, אז אין אפשרות לאפס אותו ובכך להבטיח מרגע זה חוסר התוקף המיועד גישה לנתונים שלך", כותב היזם.

הוא גם שם לב כי במקרה של קרש של היישום, הוא שולח את הנתונים אבחון בזקנה, הממוקם בכתובת לא קשור, וגם לא FTS, ולא fsue Gniivc FTS של רוסיה (היזם "בדיקות לבדוק" - VC .Ru), ועל תחום הזקיף .Studiotg.ru.

לאחר מכן, הוא מצא התייחסויות למאגרים ציבוריים של Studiotg על הגיטלאב, הנמצאים במדד Google, על פי היזם, יותר משנה. במאגרים, הוא מצא תיקיות המכילות התאמות "Lkio", "LKIP", "Lkul". הם שייכים לשירותים שם זהה של ה- FTS על תחום Nalog.ru - lkio.nalog.ru, lkip.nalog.ru ו lkul.nalog.ru.

"עבור פיוס כי מקורות שזוהו מתייחס לשירותים FTS, בדיקה פשוטה של ​​נוכחות של קובץ UPPod-Styles.txt על שרת האינטרנט הקרב, אשר לא יכול להיות שם צירוף מקרים מקריים", כותב Piskunov.

הוא הגיע למסקנה כי היזם בפועל של ההמחאה "המחאות" - Studiotg. אתר האינטרנט של "סטודיו TG", העוסקת בתחום הייעוץ והתפתחות התוכנה, בין הפרויקטים הם "החשבון האישי של משלם המסים" של ה- FTS.

Piskunov גם סבור כי תקלה של החברה, קוד המקור של קוד שירות מס הוא בגישה ציבורית. משרד העריכה של VC.RU שלח בקשה ומצפה הערות של FTS ו- Studio TG.

# חדשות # FTS

מקור