Pengembang nemokake data sawise mriksa mriksa "mriksa" - wiwit wulan Maret bisa dilacak kabeh sing ditelusuri ing Internet.
Kode sumber sawetara layanan layanan pajak Federal (FTS) wis ana ing akses umum, lan data pangguna sing tuku - miturut ancaman bocor. Kesimpulan iki teka pangguna "Habra" Anton Piskunov.
Pangembang kasebut narik kawigaten kanggo aplikasi "mriksa". Sampeyan ngidini sampeyan entuk lan nyimpen mriksa awis ing bentuk elektronik, priksa konsumsi bakul, ngirim keluhan kanggo lan liya-liyane, dilaporake menyang FTS.
Nggunakake aplikasi, pangguna bisa mindhai kode QR ing mriksa elektronik, sing ngirim statement data fiskal (saka) sawise ngrampungake tatanan ing sembarang layanan utawa nyimpen. Contone, sawise pesenan ing Yandex.Ied, Piskunov teka mriksa saka Yandex Ois.
Sawise mindhai, salinan elektronik mriksa kanthi data lengkap babagan pesenan katon ing lampiran. Ing tanggal 4 Maret 2021, para pangembang dianyari "Priksa mriksa" kanthi nambahake "Tampilan Priksa saka fungsi" mriksa online ".
Yen sampeyan duwe bukti asli ing aplikasi Priksa "Priksa Priksa", Nemtokake Nomer Telpon sing dipasang ing layanan kaya "SCOOTER", ing "Priksa" kanthi otomatis bakal nampilake kabeh mriksa Kanggo kabeh operasi ing layanan kasebut.
Piskunov mutusake kanggo mriksa kepiye kabeh data kasebut dilindhungi kanthi apik. Kanggo nindakake iki, dheweke nyelehake ing longkangan ing antara Internet lan aplikasi proksi sing gampang lan, ngrekam kegiatan jaringan aplikasi kasebut, "pumbled menyang tombol."
"Ternyata titik pungkasan kasebut ing data kasebut ing alamat IKT-Mobile.NOGROG.RNOGL.NOGL.NOLOG ing aplikasi sing paling gampang ing Framework Express. Mekanisme bukti asli pangguna ngidini sampeyan data yen sampeyan kanthi bener nuduhake header "sesiDier", regane sawetara token sing kurang dirampungake ing sisih server, "nambah Piskunov.
Yen sampeyan menet tombol "Exit" ing Priksa "Priksa", cacat token ora kedadeyan, terus. Uga pangguna ora bisa ndeleng kabeh sesi utawa ngrampungake kabeh piranti. "Mangkono, sanajan sampeyan ngerti manawa token akses dikompromi, mula ora ana kemungkinan kanggo ngreset lan banjur njajahi, mula ora ana akses akses menyang data," ujare pangembang.
Dheweke uga ngeweruhi manawa ing kasus Krash saka aplikasi kasebut, dikirim data diagnostik ing Sentry, sing ana ing alamat sing ora ana hubungane, utawa ora saka mriksa FTS Rusia (pangembang "mriksa" - vc .Rani), lan ing domain Sentry .Studiotg.ru.
Sawise iku, dheweke nemokake referensi kanggo repositori umum Studiotog ing GitLab, sing ana ing indeks Google, miturut pangembang, luwih saka setahun luwih saka setahun. Ing repositori, dheweke nemokake folder sing ngemot penyesuaian "LKio", "lkip", "lkul". Dheweke kalebu layanan sing padha karo FTS ing nalog.RU - LKII.NALOG.RA, LKIP.nalog.ru.
"Kanggo rekonsiliasi yen sumber sing dideteksi ana hubungane karo layanan FTS, priksa prasaja saka file sing paling apik ing server Web Battle.txt ing server Web Pertempuran, sing ora bisa ana kebetulan kanthi ora sengaja," nyerat Piskunov.
Dheweke nyimpulake manawa pangembang nyata mriksa "mriksa" - sariotog. Situs web "Studio TG", sing ditindakake ing konsultasi konsultasi lan pangembangan piranti lunak, ing antarane proyek yaiku "akun pribadi saka pajek" saka FTS.
Piskunov uga percaya manawa kesalahan perusahaan, kode sumber kode layanan pajak ana ing akses umum. Kantor editorial VC.ru ngirim panjaluk lan ngarepake komentar saka FTS lan studio TG.
# Warta # FTS
Sumber