Инвеститорот ги пронајде податоците по проверка на проверката "Проверки" - од март може да се следат сите нивни купувања направени во интернет услугите.
Изворниот код на некои од услугите на федералната даночна служба (FTS) е во јавен пристап, а податоците на корисниците на купувања - под можна закана од истекување. Овие заклучоци дојдоа на корисникот "Хабра" Антон Пискунов.
Инвеститорот го привлече вниманието на апликацијата "Проверки". Тоа ви овозможува да добиете и складирате готовински проверки во електронска форма, проверете ја совесноста на продавачот, испратете ги жалбите до него и така натаму, пријавени на FTS.
Користејќи ја апликацијата, корисникот може да го скенира QR кодот на електронската проверка, кој испраќа изјава за фискални податоци (OFD) по завршувањето на нарачката во која било услуга или продавница. На пример, по нарачката во Yandex.Ied, Piskunov дојде проверка од Yandex Ois.
По скенирање, електронска копија од чек со целосни податоци за нарачката се појавува во Додатокот. На 4 март 2021 година, програмерите ажурирани "проверуваат проверки" со додавање на функцијата "Прикажување на проверки од функцијата" Мојата проверка на интернет "."
Ако преземете автентикација во пријавата за проверка на проверката, наведувајќи го телефонскиот број прикачен на услугите како "Yandex.edi", "Такси", "Скутер" и други, во делот "Моите проверки" автоматски ќе ги прикажуваат сите проверки за сите операции во овие услуги.
Piskunov одлучи да провери како сите овие податоци се заштитени добро. За да го направите ова, тој го стави во јазот помеѓу интернетот и примената на едноставен прокси и, снимајќи ја мрежната активност на апликацијата ", падна во копчињата."
"Се испостави дека крајната точка со податоците се наоѓа на адресата ickt-mobile.nalog.ru:8888, кој живее наједноставна апликација на Nodejs со користење на експресната рамка. Механизмот за автентикација на корисникот ви овозможува податоците ако правилно го наведовте насловот "сесие", чија вредност е некој само-дефиктит токен генерирана на страната на серверот "додава Piskunov.
Ако притиснете го копчето "Exit" во пријавата за проверка "Проверката", не се јавува инвалидноста на токенот, продолжува. Исто така, корисникот не може да ги види сите свои сесии или да ги комплетира на сите уреди. "Така, дури и ако некако сфатив дека токенот за пристап беше компромитиран, тогаш не постои можност да се ресетира и со тоа да се гарантира од овој момент недостатокот на наменет напаѓач пристап до вашите податоци", пишува инвеститорот.
Тој, исто така, забележа дека во случај на Краш на апликацијата, ги испраќа дијагностичките податоци во стражарот, кој се наоѓа на адресата не е поврзана, ниту од FTS, ниту FSUE GNIIVC FTS на Русија (Проверката "Проверката" проверка "- VC .Ru), и на доменот на Сентри. StudioTg.ru.
После тоа, тој најде референци за јавните складишта на Студиот на Gitlab, кои се наоѓаат во индексот на Google, според инвеститорот, повеќе од една година. Во складиштата, тој најде папки кои содржат прилагодувања "Lkio", "Lkip", "Lkul". Тие припаѓаат на истите имиња услуги на FTS на доменот Nalog.ru-lkio.nalog.ru, lkip.nalog.ru и lkul.nalog.ru.
"За помирување дека откриените извори се однесуваат на услугите на FTS, едноставна проверка на присуството на датотеката за Uppod-styles.txt на битката веб сервер, што не може да биде случајна случајност", пишува Писконов.
Тој заклучи дека вистинскиот инвеститор на проверката "проверки" - Studiotg. Веб-страницата "Студио ТГ", која е ангажирана во ИТ консалтинг и развој на софтвер, меѓу проектите се "лична сметка на даночниот обврзник" од ФТС.
Писконов, исто така, верува дека вината на компанијата, изворниот код на даночниот код е во јавен пристап. Уредувачката канцеларија на VC.RU испрати барање и очекува коментари од FTS и Studio TG.
# News # FTS
Извор