Kūrėjas nustatė duomenis po patikrinimo "Checks" - nuo kovo jis gali būti atsekti visus pirkimus, pagamintus interneto paslaugas.
Kai kurios Federalinės mokesčių tarnybos (FTS) paslaugų šaltinio kodas buvo prieinama viešai prieinama, o vartotojų duomenys apie pirkimus - galimą nuotėkio grėsmę. Šios išvados atėjo vartotojas "Habra" Anton Piskunov.
Kūrėjas atkreipė dėmesį į patikrinimus "patikrinimus". Tai leidžia jums gauti ir saugoti grynųjų pinigų čekius elektronine forma, patikrinkite pardavėjo sąžiningumą, išsiųskite jai skundus ir pan., Pranešama FTS.
Naudojant paraišką, vartotojas gali nuskaityti QR kodą dėl elektroninio patikrinimo, kuris siunčia fiskalinį duomenų ataskaitą (OFD) baigus užsakymą bet paslaugoje ar parduotuvėje. Pavyzdžiui, po užsakymo Yandex.ied, Piskunov atėjo Check iš Yandex OIS.
Po nuskaitymo, priede pateikiamas elektroninis patikrinimo kopija su visais užsakymais. 2021 m. Kovo 4 d. Kūrėjai atnaujino "čekių patikrinimus" pridedant "patikrinimų rodymą iš" mano patikrinimų internetu "funkcija."
Jei autentifikavote čekiu "Check Check" programa, nurodant telefono numerį, pritvirtintą prie tokių paslaugų, kaip "Yandex.edi", "Taksi", "Motoroleris" ir kiti, skyriuje "Mano čekiai" bus automatiškai rodomi visi patikrinimai visoms šių paslaugų operacijoms.
"Piskunov" nusprendė patikrinti, kaip visi šie duomenys buvo apsaugoti gerai. Norėdami tai padaryti, jis įdėjo į atotrūkį tarp interneto ir paprasto proxy taikymo ir, įrašant tinklo veiklą taikymo, "pumbled į mygtukus."
"Paaiškėjo, kad galutinis taškas su duomenimis yra adresu ict-mobile.nalog.ru:8888, kuris gyvena paprasčiausia programa" Nodejs "naudojant aiškų sistemą. Vartotojo autentifikavimo mechanizmas leidžia jums pateikti duomenis, jei teisingai nurodėte antraštę "Sessionid", kurio vertė yra tam tikras serverio pusės sukeltas simbolis, "priduria" Piskunov ".
Jei paspaudžiate mygtuką "EXIT" į "Checks" programą "Checks", simbolis negali įvykti, jis tęsiasi. Be to, vartotojas negali matyti visų savo sesijų arba užbaigti juos visuose įrenginiuose. "Taigi, net jei kažkaip supratote, kad prieigos raktas buvo pakenktas, tada nėra galimybės jį iš naujo nustatyti ir tokiu būdu garantuoti nuo numatytos užpuoliko prieigos prie jūsų duomenų trūkumas", kūrėjas rašo.
Jis taip pat pastebėjo, kad taikymo Krass atveju jis siunčia diagnostinius duomenis Sentry, esanti adresu nesusijusiame, nei iš FTS, nei FSUE BNIIVC FTS Rusijoje (Kūrėjas "Checks Checks" - VC .Ru) ir sentry domene .studiotg.ru.
Po to jis rado nuorodų į "Gitlab" "StudiotG" viešųjų duomenų saugyklas, kurios yra "Google" indekse, pagal kūrėjo daugiau nei metus. Saugyklose jis rado aplankus, kurių sudėtyje yra koregavimų "LKIO", "LKIP", "LKUL". Jie priklauso tos pačios pavadinimų paslaugoms FTS Naloger.ru - lkio.nalog.ru, lkip.nalog.ru ir lkul.nalog.ru.
"Dėl susitaikymo, kad aptikti šaltiniai yra susiję su FTS paslaugomis, paprastas patikrinimas apie UPPOD-Styles.txt failą mūšio žiniatinklio serveryje, kuris negalėjo būti atsitiktinis atsitiktinumas," rašo Piskunov.
Jis padarė išvadą, kad tikrasis tikrinimo "čekių" kūrėjas - Studiotg. "Studio TG" svetainė, kuri užsiima IT konsultavimo ir programinės įrangos kūrimo, tarp projektų yra "asmeninė sąskaita mokesčių mokėtojo" iš FTS.
"Piskunov" taip pat mano, kad bendrovės kaltė, Mokesčių kodekso šaltinio kodas yra viešai prieinama. VC.RU redakcinė tarnyba išsiuntė užklausą ir tikisi, kad FTS ir Studio TG pastabas.
# Naujienos # fts
Šaltinis