वापरकर्त्यास "हाब्रा" सार्वजनिक ठिकाणी अनेक कर सेवांचा स्त्रोत कोड - तो सुमारे एक वर्षासाठी खुला आहे

विकसकाने "चेक" चेक तपासल्यानंतर डेटा सापडला - मार्चपासून ते इंटरनेट सेवांमध्ये त्यांच्या सर्व खरेदीची तपासणी केली जाऊ शकते.

फेडरल टॅक्स सर्व्हिसेस (एफटीएस) च्या काही सेवांचा स्त्रोत कोड सार्वजनिक प्रवेशामध्ये आहे आणि खरेदीवरील वापरकर्त्यांचा डेटा - लीकेजच्या संभाव्य धोक्यांखाली. हा निष्कर्ष वापरकर्त्यास "हाब्रा" एंटोन पिस्कुनोव आला.

विकसक "चेक" अर्जाकडे लक्ष वेधले. हे आपल्याला इलेक्ट्रॉनिक स्वरूपात कॅश चेक मिळविण्यासाठी आणि संग्रहित करण्याची परवानगी देते, विक्रेता च्या प्रामाणिकपणा तपासा, तक्रारी पाठवा आणि म्हणून सांगितले.

अनुप्रयोग वापरून, वापरकर्ता इलेक्ट्रॉनिक तपासणीवर QR कोड स्कॅन करू शकतो, जो कोणत्याही सेवेमध्ये किंवा स्टोअरमध्ये ऑर्डर पूर्ण केल्यानंतर वित्तीय डेटा स्टेटमेंट (ओएफडी) पाठवते. उदाहरणार्थ, Yandex.IDE मध्ये ऑर्डर केल्यानंतर, पिस्कुनोवने यांदेक्स ओआयतून चेक आला.

स्कॅनिंग केल्यानंतर, ऑर्डरवरील पूर्ण डेटासह चेकची इलेक्ट्रॉनिक कॉपी परिशिष्टात दिसते. 4 मार्च, 2021 रोजी, विकासक "माझ्या चेक ऑनलाइन" फंक्शनमधून "चेकचे प्रदर्शन" जोडून "चेक चेक करते."

"चेक चेक", "टॅक्सी", "टॅक्सी", "टॅक्सी", "स्कूटर", "स्कूटर", "स्कूटर", "स्कूटर", "स्कूटर" आणि इतरांसारख्या सेवांशी संलग्न केलेला फोन नंबर निर्दिष्ट करत असल्यास, स्वयंचलितपणे सर्व चेक दर्शवेल या सेवांमध्ये सर्व ऑपरेशनसाठी.

"चेक चेक" अनुप्रयोगात "माझे चेक"

Piskunov या सर्व डेटा कसे संरक्षित केले हे तपासण्याचे ठरविले. हे करण्यासाठी त्याने इंटरनेटमधील अंतर आणि साध्या प्रॉक्सीचा वापर केला आणि अनुप्रयोगाच्या नेटवर्क क्रियाकलाप रेकॉर्ड करणे, "बटनामध्ये अडकले."

"असे दिसून आले की डेटासह अंतबिंदू पत्ता ict-mobile.nalog.ru:8888 येथे स्थित आहे, जे एक्सप्रेस फ्रेमवर्क वापरुन नोडजवर सर्वात सोपा अॅप जगतो. वापरकर्ता प्रमाणीकरण यंत्रणा आपल्याला "सत्र" शीर्षलेख योग्यरित्या सूचित केल्यास, ज्याचे मूल्य सर्व्हरच्या बाजूला व्युत्पन्न केलेले आहे, "Piskunov जोडते.

"चेक" अनुप्रयोगात आपण "निर्गमन" बटण दाबल्यास, टोकन अपंग होत नाही, ते चालूच नाही. तसेच, वापरकर्ता त्याचे सर्व सत्र पाहू शकत नाही किंवा सर्व डिव्हाइसेसवर पूर्ण करू शकत नाही. "अशा प्रकारे, आपण कसे समजले की प्रवेश टोकनशी तडजोड केली गेली आहे, तर ते रीसेट करण्याची कोणतीही शक्यता नाही आणि त्या क्षणी आपल्या डेटावर असलेल्या आक्रमणकर्त्याच्या प्रवेशाची कमतरता नाही," असे विकासक लिहितात.

त्यांनी लक्षात घेतले की या अनुप्रयोगाच्या क्रॅशच्या बाबतीत, ते संबंधित पत्त्याशी संबंधित नसलेले, किंवा फ्यूस जीएनआयव्हीसी फिट्स (विकसक "चेक चेक" - व्हीसी .Ru), आणि Sentry डोमेनवर .Stuiotg.ru.

त्यानंतर, त्यांना एक वर्षापेक्षा जास्त विकसकानुसार, Google इंडेक्समध्ये स्थित असलेल्या गिटलाबवरील स्टुडिओक्सगा सार्वजनिक रेपॉजिटरीजचे संदर्भ आढळले. रेपॉजिटरीजमध्ये, त्यांना "लकीप", "लिकी", "एलकेआयपी", समायोजन असलेले फोल्डर सापडले. ते NALOG.RU च्या डोमेनच्या समान-नावाच्या सेवांचे आहेत - lkio.alog.ru, lkip.alog.ru आणि lkul.al.alu.ru.

"शोधलेल्या स्त्रोत फिट्स सेवांशी संबंधित आहेत, बॅटरी वेब सर्व्हरवरील UPPod-Styles.txt फाइलच्या उपस्थितीची एक सोपी तपासणी, जे एक अपघाती संयोग आहे," असे पिस्कनोव लिहितात.

त्याने निष्कर्ष काढला की चेक "चेक" - स्टुडिओक्सचा वास्तविक विकासक. "स्टुडिओ टीजी" वेबसाइट, जी आयटी कन्सल्टिंग आणि सॉफ्टवेअर डेव्हलपमेंटमध्ये गुंतलेली आहे, या प्रकल्पांमध्ये "करदात्याचा वैयक्तिक खाते" आहे.

पिस्कुनोव देखील मानतात की कंपनीचे दोष, कर सेवा कोडचे स्त्रोत कोड सार्वजनिक प्रवेशामध्ये आहे. व्हीसी.आर. चे संपादकीय कार्यालय विनंती पाठविली आणि एफटीएस आणि स्टुडिओ टीजीच्या टिप्पण्यांची अपेक्षा केली.

# बातम्या # फीट

एक स्रोत