Pemaju mendapati data selepas menyemak cek "cek" - dari bulan Mac, ia dapat dikesan semua pembelian mereka yang dibuat dalam perkhidmatan Internet.
Kod sumber beberapa perkhidmatan Perkhidmatan Cukai Persekutuan (FTS) telah berada dalam akses awam, dan data pengguna mengenai pembelian - di bawah kemungkinan ancaman kebocoran. Kesimpulan ini datang pengguna "Habra" Anton Piskunov.
Pemaju menarik perhatian permohonan cek "cek". Ia membolehkan anda untuk mendapatkan dan menyimpan cek tunai dalam bentuk elektronik, periksa keamanan penjual, menghantar aduan kepadanya dan sebagainya, dilaporkan kepada FTS.
Menggunakan aplikasi itu, pengguna boleh mengimbas kod QR pada cek elektronik, yang menghantar Penyata Data Fiskal (OFD) selepas melengkapkan pesanan dalam mana-mana perkhidmatan atau kedai. Sebagai contoh, selepas memesan di Yandex.ied, Piskunov datang cek dari Yandex OIS.
Selepas pengimbasan, salinan elektronik cek dengan data penuh pada perintah itu muncul di Lampiran. Pada 4 Mac, 2021, pemaju mengemas kini "cek cek" dengan menambahkan "paparan cek dari fungsi" cek saya dalam talian "."
Sekiranya anda mengambil pengesahan dalam permohonan "Semak Semak Semak", yang menyatakan nombor telefon yang dilampirkan pada perkhidmatan seperti "Yandex.edi", "Teksi", "Scooter" dan lain-lain, dalam bahagian "Saya Cek" secara automatik akan memaparkan semua cek untuk semua operasi dalam perkhidmatan ini.
Piskunov memutuskan untuk memeriksa bagaimana semua data ini dilindungi dengan baik. Untuk melakukan ini, dia meletakkan jurang antara Internet dan penggunaan proksi yang mudah dan, merekodkan aktiviti rangkaian permohonan itu, "tersenyum ke dalam butang."
"Ternyata titik akhir dengan data terletak di alamat ickt-mobile.nalog.ru:8888, yang menyiarkan aplikasi paling mudah di Nodejs menggunakan rangka kerja Express. Mekanisme pengesahan pengguna membolehkan anda ke data jika anda dengan betul menunjukkan tajuk "sessive", nilai yang merupakan token yang cacat diri yang dihasilkan di sisi pelayan, "tambah Piskunov.
Jika anda menekan butang "Exit" dalam aplikasi cek "cek", kecacatan token tidak berlaku, ia berterusan. Juga, pengguna tidak dapat melihat semua sesi atau menyelesaikannya pada semua peranti. "Oleh itu, walaupun anda mengerti bahawa token akses telah dikompromi, maka tidak ada kemungkinan untuk menetapkannya dan dengan itu menjamin dari saat ini kekurangan akses penyerang yang dimaksudkan ke data anda," kata pemaju.
Beliau juga menyedari bahawa dalam hal krash permohonan itu, ia menghantar data diagnostik dalam Sentry, yang terletak di alamat yang tidak berkaitan, dan tidak dari FTS, atau FSue Gnivc FTS dari Rusia (pemaju "cek cek" - VC .Ru), dan pada Domain Sentry .studiotg.ru.
Selepas itu, beliau mendapati rujukan kepada Repositori Awam StudioTG di Gitlab, yang terletak di Google Index, menurut pemaju, lebih daripada satu tahun. Dalam repositori, dia mendapati folder yang mengandungi pelarasan "LKIO", "LKIP", "LKUL". Mereka tergolong dalam perkhidmatan yang sama dengan FTS pada domain Nalog.ru - lkio.nalog.ru, lkip.nalog.ru dan lkul.nalog.ru.
"Untuk perdamaian bahawa sumber yang dikesan berkaitan dengan perkhidmatan FTS, pemeriksaan mudah kehadiran fail Uppod-Styles.txt pada pelayan web pertempuran, yang tidak boleh berada di sana kebetulan yang tidak sengaja," tulis Piskunov.
Beliau membuat kesimpulan bahawa pemaju sebenar cek "cek" - studiotg. Laman web "Studio TG", yang terlibat dalam pembangunan IT dan pembangunan perisian, antara projek-projek adalah "akaun peribadi pembayar cukai" dari FTS.
Piskunov juga percaya bahawa kesalahan syarikat, kod sumber kod perkhidmatan cukai adalah dalam akses awam. Pejabat Editorial VC.RU menghantar permintaan dan mengharapkan komen dari FTS dan Studio Tg.
# Berita # FTS
Suatu punca