उपयोगकर्ता "हबरा" सार्वजनिक रूप से कई कर सेवाओं के स्रोत कोड तक पहुंचे - यह लगभग एक वर्ष के लिए खुला है

डेवलपर को चेक "चेक" की जांच के बाद डेटा मिला - मार्च से इसे इंटरनेट सेवाओं में अपनी सभी खरीद की खोज की जा सकती है।

संघीय कर सेवा (एफटीएस) की कुछ सेवाओं का स्रोत कोड सार्वजनिक पहुंच में रहा है, और रिसाव के संभावित खतरे के तहत खरीद पर उपयोगकर्ताओं के डेटा। यह निष्कर्ष उपयोगकर्ता "हबरा" एंटोन पिस्कुनोव आया था।

डेवलपर ने "चेक" एप्लिकेशन की जांच पर ध्यान दिया। यह आपको इलेक्ट्रॉनिक रूप में नकद चेक प्राप्त करने और स्टोर करने की अनुमति देता है, विक्रेता की ईमानदारी की जांच करता है, एफटीएस को सूचित करता है, इसे और इसी तरह की शिकायतें भेजता है।

एप्लिकेशन का उपयोग करके, उपयोगकर्ता इलेक्ट्रॉनिक चेक पर क्यूआर कोड स्कैन कर सकता है, जो किसी भी सेवा या स्टोर में ऑर्डर पूरा करने के बाद वित्तीय डेटा स्टेटमेंट (ओएफडी) भेजता है। उदाहरण के लिए, yandex.ied में आदेश देने के बाद, Piskunov Yandex Ois से चेक आया था।

स्कैनिंग के बाद, आदेश पर पूर्ण डेटा के साथ चेक की एक इलेक्ट्रॉनिक प्रति परिशिष्ट में दिखाई देती है। 4 मार्च, 2021 को, डेवलपर्स ने "मेरे चेक ऑनलाइन" फ़ंक्शन "से चेक का प्रदर्शन" जोड़कर "चेक चेक" अपडेट किया। "

यदि आप "चेक चेक" एप्लिकेशन में प्रमाणीकरण करते हैं, "Yandex.edi", "टैक्सी", "स्कूटर" और अन्य जैसी सेवाओं से जुड़ी एक फोन नंबर निर्दिष्ट करते हैं, "मेरे चेक" अनुभाग में स्वचालित रूप से सभी चेक प्रदर्शित होंगे इन सेवाओं में सभी परिचालनों के लिए।

"मेरे चेक" एप्लिकेशन में "चेक चेक"

Piskunov यह जांचने का फैसला किया कि इन सभी डेटा को अच्छी तरह से संरक्षित किया गया था। ऐसा करने के लिए, उन्होंने इंटरनेट और एक साधारण प्रॉक्सी के अनुप्रयोग और अनुप्रयोग की नेटवर्क गतिविधि को रिकॉर्ड करने के लिए रखा, "बटन में झुकाव"।

"यह पता चला कि डेटा के साथ समापन बिंदु ickt-mobile.llog.ru :8888 पर स्थित है, जो एक्सप्रेस ढांचे का उपयोग कर नोडेज पर सबसे सरल ऐप रहता है। Piskunov कहते हैं, "उपयोगकर्ता प्रमाणीकरण तंत्र आपको डेटा के लिए अनुमति देता है यदि आपने" सत्रिडी "हेडर को सही ढंग से इंगित किया है, जिसका मूल्य सर्वर पक्ष पर उत्पन्न कुछ आत्म-घाटी टोकन है।"

यदि आप "चेक" एप्लिकेशन में "बाहर निकलें" बटन दबाते हैं, तो टोकन विकलांगता नहीं होती है, यह जारी है। साथ ही, उपयोगकर्ता अपने सभी सत्र नहीं देख सकता है या उन्हें सभी उपकरणों पर पूरा नहीं कर सकता है। डेवलपर लिखते हैं, "इस प्रकार, यहां तक ​​कि यदि आप किसी भी तरह से समझते हैं कि एक्सेस टोकन से समझौता किया गया था, तो इसे रीसेट करने की कोई संभावना नहीं है और इस समय से इस पल से गारंटी है कि आपके डेटा तक एक इच्छित हमलावर पहुंच की कमी है।"

उन्होंने यह भी देखा कि आवेदन के क्रैश के मामले में, यह संतरी में निदान डेटा भेजता है, न कि संबंधित नहीं, और न ही एफटीएस, और न ही रूस के एफएसयू जीएनआईआईवीसी एफटीएस (डेवलपर "चेक चेक" - वीसी .Ru), और संतरी डोमेन पर .Studiotg.ru।

इसके बाद, उन्होंने एक वर्ष से अधिक समय के साथ, Google अनुक्रमणिका में स्थित गिटलाब पर स्टूडियो सार्वजनिक भंडारों के संदर्भों को पाया। भंडारों में, उन्होंने फ़ोल्डरों को "एलकेआईओ", "एलकेआईपी", "लुकुल" युक्त फ़ोल्डर्स पाया। वे डोमेन Nalog.ru - lkio.ralolog.ru, lkip.nalolog.ru और lkul.nalolog.ru पर fts की समान नामित सेवाओं से संबंधित हैं।

पिस्कुनोव लिखते हैं, "ज्ञात स्रोतों से संबंधित स्रोत एफटीएस सेवाओं से संबंधित हैं, युद्ध वेब सर्वर पर uppod-styles.txt फ़ाइल की उपस्थिति की एक साधारण जांच, जो एक आकस्मिक संयोग नहीं हो सकता है," Piskunov लिखते हैं।

उन्होंने निष्कर्ष निकाला कि चेक "चेक" के वास्तविक डेवलपर - स्टूडियो। "स्टूडियो टीजी" वेबसाइट, जो इस परामर्श और सॉफ्टवेयर विकास में लगी हुई है, परियोजनाओं के बीच एफटीएस से "करदाता का व्यक्तिगत खाता" है।

Piskunov यह भी मानता है कि कंपनी की गलती, कर सेवा कोड का स्रोत कोड सार्वजनिक पहुंच में है। वीसीसी के संपादकीय कार्यालय ने एक अनुरोध भेजा और एफटीएस और स्टूडियो टीजी से टिप्पणियों की अपेक्षा की।

# समाचार # एफटीएस

एक स्रोत