Izstrādātājs atrada datus pēc pārbaudes čeku "čeki" - no marta to var izsekot visus pirkumus, kas veikti interneta pakalpojumos.
Dažu Federālā nodokļu dienesta (FTS) pakalpojumu avota kods ir bijis publiskajā piekļuvē, un lietotāju dati par pirkumiem - ar iespējamu noplūdes draudiem. Šie secinājumi nāca lietotāju "Habra" Anton Piskunov.
Izstrādātājs vērsa uzmanību uz pieteikumu par čeku pārbaudi. Tas ļauj jums iegūt un uzglabāt skaidras naudas pārbaudes elektroniskā veidā, pārbaudiet pārdevēja apzinību, nosūtiet sūdzības un tā tālāk, ziņoja par FTS.
Izmantojot programmu, lietotājs var skenēt QR kodu elektroniskajā pārbaudē, kas nosūta fiskālā datu paziņojumu (OFD) pēc pasūtījuma pabeigšanas jebkurā pakalpojumā vai veikalā. Piemēram, pēc pasūtīšanas Yandex.ied, Piskunov nāca čeku no Yandex Ois.
Pēc skenēšanas, elektroniskā kopija čeku ar pilnu datu par pasūtījumu parādās pielikumā. 2021. gada 4. martā izstrādātāji atjaunināja "Pārbaudes pārbaudes", pievienojot "pārbaužu displeju no" Manas pārbaudes tiešsaistē "funkcijas."
Ja jūs lietojat autentifikāciju, norādot tālruņa numuru, kas pievienots pakalpojumiem, piemēram, "Yandex.edi", "Taxi", "Scooter" un citi, sadaļā "Mani čeki" automātiski parādīs visas pārbaudes Visām šiem pakalpojumiem.
Piskunov nolēma pārbaudīt, kā visi šie dati tika aizsargāti labi. Lai to izdarītu, viņš ievieto plaisā starp internetu un vienkāršu proxy pieteikumu, un, ierakstot lietojumprogrammas tīkla darbību, "pumped pogās."
"Izrādījās, ka galapunkts ar datiem atrodas adresē icct-mobile.nalog.ru:8888, kas dzīvo vienkāršākā lietotne uz Nodejs, izmantojot Express Framework. Lietotāja autentifikācijas mehānisms ļauj jums datus, ja jūs pareizi norādījāt "sesijasID" galveni, kuras vērtība ir daži pašaizliedzēja marķieri, kas radušies servera pusē, "pievieno piskunov.
Ja jūs nospiežat pogu "Iziet" čeku "Pārbaudes" lietojumprogrammā, Token invaliditāte nenotiek, tā turpinās. Arī lietotājs nevar redzēt visas tās sesijas vai pabeigt tos visās ierīcēs. "Tādējādi, pat ja jūs kaut kā saprast, ka piekļuves marķieris tika apdraudēts, tad nav iespējams to atiestatīt un tādējādi garantēt no šī brīža, lai piekļūtu paredzētajam uzbrucējam piekļuvei jūsu datiem," izstrādātājs raksta.
Viņš arī pamanīja, ka gadījumā, ja Krash no pieteikuma, tā nosūta diagnostikas datus Sentry, kas atrodas pie adreses, kas nav saistīta, ne no FTS, ne Fse Gniivc FTS Krievijas (attīstītājs "čeku pārbaude" - VC .Ru) un Sentry domēnā .Studiotg.ru.
Pēc tam viņš atrada atsauces uz Studiotg publiskajām krātuvēm uz GitLab, kas atrodas Google indeksā, saskaņā ar attīstītāju, vairāk nekā gadu. Repozitorijās viņš atrada mapes, kas satur korekcijas "LKIO", "LKIP", "LKUL". Tie pieder pie tā paša nosaukumiem FTS uz domēna Nalog.ru - LKIO.NALOG.RU, LKIP.NALOG.RU un LKUL.NALOG.RU.
"Lai samierināšanai, ka atklātie avoti ir saistīti ar FTS pakalpojumiem, vienkāršu pārbaudi par uppod-stilu.txt faila klātbūtni kaujas tīmekļa serverī, kas nevarētu būt nejauša sakritība," raksta piskunov.
Viņš secināja, ka faktiskais attīstītājs čeku "čeki" - Studiotg. "Studio TG" tīmekļa vietne, kas nodarbojas ar IT konsultāciju un programmatūras izstrādi, starp projektiem ir "personīgais pārskats par nodokļu maksātāju" no FTS.
Piskunov uzskata arī, ka uzņēmuma vaina, nodokļu dienesta koda pirmkods ir publiska piekļuve. VC.RU redakcionālais birojs nosūtīja pieprasījumu un sagaida komentārus no FTS un Studio TG.
# Jaunumi # FTS
Avots