L-iżviluppatur sab id-data wara li jiċċekkja l-kontroll "kontrolli" - minn Marzu jista 'jiġi ntraċċat ix-xiri kollu tagħhom magħmul fis-servizzi tal-Internet.
Il-kodiċi tas-sors ta 'wħud mis-servizzi tas-Servizz Federali tat-Taxxa (FTS) kien fl-aċċess pubbliku, u d-data tal-utenti fuq ix-xiri - taħt theddida possibbli ta' tnixxija. Dan il-konklużjonijiet ġew l-utent "Habra" Anton Piskunov.
L-iżviluppatur ġibed l-attenzjoni għall-applikazzjoni tal-verifika "Kontrolli". Jippermettilek li tikseb u taħżen kontrolli ta 'flus f'forma elettronika, iċċekkja l-kuxjenzjuża tal-bejjiegħ, ibgħat ilmenti lilha u l-bqija, irrappurtat lill-FTS.
Bl-użu tal-applikazzjoni, l-utent jista 'jiskannja l-kodiċi QR fuq il-kontroll elettroniku, li jibgħat id-dikjarazzjoni tad-dejta fiskali (OFD) wara li tlesti l-ordni fi kwalunkwe servizz jew maħżen. Pereżempju, wara li tordna f'Yandex.ied, Piskunov daħal il-kontroll minn Yandex Ois.
Wara l-iskannjar, kopja elettronika tal-kontroll b'dejta sħiħa dwar l-ordni tidher fl-Appendiċi. Fl-4 ta 'Marzu, 2021, l-iżviluppaturi aġġornati "Kontrolli ta' Kontroll" billi jżidu l- "wiri ta 'kontrolli mill-" kontrolli tiegħi online "funzjoni."
Jekk tieħu awtentikazzjoni fil-verifika "Iċċekkja Iċċekkja" applikazzjoni, li tispeċifika numru tat-telefon mehmuż mas-servizzi bħal "Yandex.edi", "Taxi", "Scooter" u oħrajn, fit-taqsima "Il-Kontrolli Tiegħi" awtomatikament turi l-kontrolli kollha għall-operazzjonijiet kollha f'dawn is-servizzi.
Piskunov iddeċieda li jivverifika kif din id-data kienet protetta sew. Biex tagħmel dan, huwa poġġa fid-distakk bejn l-Internet u l-applikazzjoni ta 'prokura sempliċi u, li jirrekordja l-attività tan-netwerk tal-applikazzjoni, "imqaxxar fil-buttuni."
"Irriżulta li l-endpoint mad-data tinsab fl-indirizz Ickt-mobile.nalog.ru:8888, li jgħix l-app sempliċi fuq nodejs li jużaw il-qafas espress. Il-mekkaniżmu ta 'awtentikazzjoni tal-utent jippermettilek li data jekk inti korrett indikat l- "Sessid" header, il-valur tagħhom huwa xi token awto-defiċit iġġenerat fuq in-naħa server, "żżid Piskunov.
Jekk tagħfas il-buttuna "ĦRUĠ" fl-applikazzjoni ta '"Kontrolli", id-diżabilità token ma sseħħx, tkompli. Ukoll, l-utent ma jistax jara s-sessjonijiet kollha tiegħu jew imla minnhom fuq l-apparati kollha. "Għalhekk, anke jekk b'xi mod fhimt li t-token ta 'l-aċċess ġie kompromess, allura m'hemm l-ebda possibbiltà li terġa' tissettjaha u b'hekk tiggarantixxi minn dan il-mument in-nuqqas ta 'attakkant maħsub għal data tiegħek," l-iżviluppatur jikteb.
Huwa nnota wkoll li fil-każ tal-Krash tal-applikazzjoni, jibgħat id-dejta dijanjostika fis-sentry, li tinsab fl-indirizz mhux relatat, u lanqas mill-FTS, u lanqas jiffissaw GNIIVC FTS tar-Russja (l-iżviluppatur "Kontrolli" - VC .Ru), u fuq il-Sentry Dominju .Studiotg.ru.
Wara dan, huwa sab referenzi għall-repożitorji pubbliċi studiotg fuq il-GitLab, li jinsabu fl-indiċi Google, skond l-iżviluppatur, aktar minn sena. Fir-repożitorji, huwa sab folders li fihom aġġustamenti "LKIO", "LKIP", "LKUL". Huma jappartjenu għall-istess servizzi ta 'isem tal-FTS fuq id-dominju nalog.ru-lkio.nalog.ru, lkip.nalog.ru u lkul.nalog.ru.
"Għar-rikonċiljazzjoni li s-sorsi misjuba għandhom x'jaqsmu mas-servizzi FTS, kontroll sempliċi tal-preżenza tal-fajl uppod-styles.txt fuq is-server tal-web tal-battalja, li ma setax ikun hemm koinċidenza aċċidentali," jikteb Piskunov.
Huwa kkonkluda li l-iżviluppatur attwali tal-verifika "Kontrolli" - StudioTG. Il- "Studio Tg" websajt, li hija involuta fl-IT li tikkonsulta u żvilupp ta 'softwer, fost il-proġetti huma l- "kont personali tal-kontribwent" mill-FTS.
Piskunov jemmen ukoll li t-tort tal-kumpanija, il-kodiċi tas-sors tal-kodiċi tas-servizz tat-taxxa huwa fl-aċċess pubbliku. L-uffiċċju editorjali ta 'VC.ru bagħat talba u jistenna kummenti mill-FTS u l-istudjo Tg.
# Aħbarijiet # FTS
Sors