Lo sviluppatore ha trovato i dati dopo aver controllato i "controlli" di controllo - da marzo può essere rintracciato tutti i loro acquisti effettuati in servizi Internet.
Il codice sorgente di alcuni dei servizi del servizio fiscale federale (FTS) è stato in accesso pubblico e i dati degli utenti sugli acquisti - sotto una possibile minaccia di perdite. Questa conclusione è arrivata l'utente "Habra" Anton Piskunov.
Lo sviluppatore ha attirato l'attenzione sull'applicazione di controllo "Controlli". Ti consente di ottenere e memorizzare i controlli in contanti in forma elettronica, controlla la coscienziosità del venditore, inviare reclami ad esso e così via, segnalati al FTS.
Utilizzando l'applicazione, l'utente può eseguire la scansione del codice QR sul controllo elettronico, che invia l'istruzione dati fiscale (OFD) dopo aver completato l'ordine in qualsiasi servizio o archivio. Ad esempio, dopo aver ordinato in Yandex. Piskunov è arrivato il controllo di Yandex Ois.
Dopo la scansione, una copia elettronica del controllo con dati completi sull'ordine appare nell'appendice. Il 4 marzo 2021, gli sviluppatori hanno aggiornato "Controlli controlli" aggiungendo la funzione "Visualizzazione dei controlli dalla funzione" My Checks Online "."
Se si effettua l'autenticazione nell'applicazione di controllo "Verifica", specificando un numero di telefono collegato ai servizi come "yandex.edi", "taxi", "scooter" e altri, nella sezione "I controlli" mostreranno automaticamente tutti i controlli Per tutte le operazioni in questi servizi.
Piskunov ha deciso di controllare il modo in cui tutti questi dati sono stati protetti bene. Per fare ciò, ha inserito il divario tra Internet e l'applicazione di un semplice proxy e, registrando l'attività di rete dell'applicazione, "puricandosi nei pulsanti".
"Si è scoperto che l'endpoint con i dati si trova all'indirizzo ICKT-MOBILE.NALOG.RU:8888, che vive l'app più semplice sui nodejs utilizzando il quadro Express. Il meccanismo di autenticazione dell'utente consente ai dati se hai indicato correttamente l'intestazione "SessionID", il valore del quale è un token auto-deficiente generato sul lato server ", aggiunge Piskunov.
Se si preme il pulsante "Esci" nell'applicazione di controllo "Controlli", la disabilità del token non si verifica, continua. Inoltre, l'utente non può vedere tutte le sue sessioni o completarle su tutti i dispositivi. "Pertanto, anche se in qualche modo capito che il token di accesso è stato compromesso, allora non c'è possibilità di resettarlo e quindi garantire da questo momento la mancanza di un attaccante previsto per l'accesso ai tuoi dati", scrive lo sviluppatore.
Ha anche notato che nel caso del Krash dell'applicazione, invia i dati diagnostici nella sentinella, situata all'indirizzo non correlato, né dal FTS, né da FSue GNIIVC FTS della Russia (lo sviluppatore "assegni check" - VC .Ru), e sul dominio sentinello .studiotg.ru.
Successivamente, ha trovato riferimenti ai repository pubblici di Studiot sul Gitlab, che si trovano nell'indice Google, secondo lo sviluppatore, più di un anno. Nei repository, ha trovato cartelle contenenti regolazioni "LKIO", "LKIP", "LKUL". Appartengono ai servizi stessi di The FTS sul dominio nalog.ru - lkio.nalog.ru, lkip.nalog.ru e lkul.nalog.ru.
"Per la riconciliazione che le fonti rilevate si riferiscono ai servizi FTS, un semplice controllo della presenza del file UPPOD-Styles.txt sul server Web di battaglia, che non potrebbe esserci una coincidenza accidentale", scrive Piskunov.
Ha concluso che lo sviluppatore effettivo del controllo "controlla" - Studiotg. Il sito Web "Studio TG", che è impegnato nella consulenza IT e nello sviluppo del software, tra i progetti sono il "resoconto personale del contribuente" dal FTS.
Piskunov ritiene inoltre che la colpa dell'azienda, il codice sorgente del codice di servizio fiscale sia nell'accesso pubblico. L'ufficio editoriale di VC.RU ha inviato una richiesta e si aspetta commenti dal FTS e Studio TG.
# News # fts
Una fonte