A fejlesztő megtalálta az adatokat a csekk "ellenőrzések" ellenőrzése után - márciusból, akkor nyomon követhető az internetes szolgáltatásokban készült vásárlások.
A szövetségi adószolgálat (FTS) egyes szolgáltatásainak forráskódja nyilvános hozzáféréssel rendelkezik, és a vásárlások felhasználói adatai - a szivárgás esetleges veszélye alatt. Ez a következtetések jöttek a felhasználó "Habra" Anton Piskunov.
A fejlesztő felhívta a figyelmet az ellenőrzés "ellenőrzések" alkalmazására. Lehetővé teszi, hogy készpénzellenőrzést kapjon és tárolja az elektronikus formában, ellenőrizze az eladó lelkiismeretességét, panaszokat küldjön hozzá, és így tovább, jelentette az FTS-nek.
Az alkalmazás használatával a felhasználó beolvashatja a QR-kódot az elektronikus ellenőrzésre, amely a megrendelés befejezése után elküldi a Fiscal Data nyilatkozatot (OFD). Például a megrendelés után Yandex.ed, Piskunov jött az ellenőrzés a Yandex Ois.
A keresés után egy elektronikus példányát az ellenőrzés teljes adatokat a rendelés megjelenik a függelékben található. Március 4-én 2021-ben a fejlesztők frissített „check ellenőrzés” hozzáadásával a „Display csekkek” Saját ellenőrzések online „funkciót.”
Ha a hitelesítést a Check "Check Check" alkalmazásban, a "Yandex.edi", "Taxi", "Scooter", "Scooter", "Taxi", "Scooter", "Scooter", "Scooter" című telefonszám megadása. E szolgáltatások minden művelethez.
Piskunov úgy döntött, hogy ellenőrizte, hogy ezek az adatok jól védettek. Ehhez az internet közötti szakadékot és egy egyszerű proxy alkalmazását és az alkalmazás hálózati tevékenységének felvételét "a gombokba rögzítette."
"Kiderült, hogy az adatok végpontja az ICTT-MOBILE.NALOG.RU:8888 címen található, amely a Nodejs legegyszerűbb alkalmazását az Express keretrendszer segítségével él. A felhasználói hitelesítési mechanizmus lehetővé teszi az adatok számára, ha helyesen jelezte a "SessionID" fejlécet, amelynek értéke a kiszolgáló oldalán létrehozott önzáró token, "Hozzáadja Piskunovot.
Ha megnyomja a "Kilépés" gombot az "Ellenőrzések" alkalmazásban, a token fogyatékosság nem fordul elő, folytatódik. Továbbá a felhasználó nem látja az összes munkamenetét, vagy teljesíti az összes eszközön. "Így, még akkor is, ha valahogy megértette, hogy a hozzáférési token veszélybe került, akkor nincs lehetőség arra, hogy visszaállítsa, és ezáltal garantálja ettől a pillanattól kezdve az adatokhoz való hozzáférés hiánya," írja a fejlesztő.
Azt is észrevette, hogy az alkalmazás Krash esetében a diagnosztikai adatokat a Sentry-ban küldi el, amely nem kapcsolódik, sem az FTS, sem az FSUE GNIIVC FTS Oroszországból (a fejlesztő "ellenőrzés ellenőrzése" - VC .Ru) és a Sentry Domain .studiotg.ru.
Utána talált utalást a Studiotg közgyűjtemények a Gitlab, amely található a Google Index szerint a fejlesztő, több mint egy éve. A tárolókban találta a "LKIO", "LKIP", "LKUL" beállításokat tartalmazó mappákat. A Nalog.Ru - LKio.NALOG.RU, LKIP.NALOG.RU és LKUL.NALOG.RU domainben található FTS azonos nevű szolgáltatásaihoz tartoznak.
"A megbékéléshez az észlelt források az FTS-szolgáltatásokhoz kapcsolódnak, az Uppod-Styles.txt fájl jelenlétének egyszerű ellenőrzése a csata webszerveren, ami nem lehetett véletlen véletlen egybeesés" - írja Piskunovot.
Arra a következtetésre jutott, hogy az ellenőrzés "ellenőrzések" - studiotg. A "Studio TG" weboldal, amely az informatikai tanácsadással és a szoftverfejlesztéssel foglalkozik, a projektek közé tartozik az FT-k "személyes beszámolója".
Piskunov úgy véli, hogy a vállalat hibája, az adószolgáltatási kód forráskódja nyilvános hozzáféréssel rendelkezik. A VC.RU szerkesztői irodája kérelmet küldött, és elvárja az FTS és a Studio Tg észrevételeit.
# Hírek # fts
Egy forrás