De ontwikkelaar vond de gegevens na het controleren van de cheque "cheques" - vanaf maart kan het al hun aankopen in internetdiensten worden getraceerd.
De broncode van enkele van de diensten van de federale belastingdienst (FTS) is in het openbare toegang en de gegevens van gebruikers over aankopen - onder een mogelijke dreiging van lekkage. Deze conclusies kwamen de gebruiker "Habra" Anton Piskunov.
De ontwikkelaar heeft de aandacht getrokken op de aanvraag van de cheques ". Hiermee kunt u contante cheques in elektronische vorm opslaan en opslaan, de gewetenszucht van de verkoper controleren, klachten naar het sturen enzovoort, gerapporteerd aan de FTS.
De gebruiker gebruiken, kan de gebruiker de QR-code op de elektronische cheque scannen, die de fiscale gegevensverklaring (OFD) verzendt na het voltooien van de bestelling in elke dienst of winkel. Bijvoorbeeld, na bestellingen in Yandex.ied kwam Piskunov de cheque van Yandex Ois.
Na het scannen verschijnt een elektronische kopie van de cheque met volledige gegevens in de bestelling in de appendix. Op 4 maart 2021 bijgewerkt de ontwikkelaars "checks checks" bij door het "Display of Cheques van de" My Checks Online "-functie toe te voegen."
Als u authenticatie in de toepassing van de cheque-cheque "gebruikt, geeft u een telefoonnummer op die is gekoppeld aan de services zoals" Yandex.edi "," Taxi "," Scooter "en anderen, in de sectie" Mijn cheques "automatisch weergeeft automatisch alle cheques voor alle bewerkingen in deze services.
Piskunov heeft besloten om te controleren hoe al deze gegevens goed werden beschermd. Om dit te doen, legde hij in de kloof tussen het internet en de toepassing van een eenvoudige proxy en het opnemen van de netwerkactiviteit van de toepassing, "pompelde in de knoppen."
"Het bleek dat het eindpunt met de gegevens zich bevindt op het adres ick-mobile.nalog.ru:8888, dat de eenvoudigste app op NODEJS leeft met behulp van het expreskader. Het gebruikersauthenticatie-mechanisme stelt u in staat om te gegevens als u de kop van de "SessionID" correct hebt aangegeven, waarvan de waarde ervan een zelfdeficent token is gegenereerd aan de serverzijde, "voegt Piskunov toe.
Als u op de knop "EXIT" op de knop "Controleert" drukt, komt de token-handicap niet op, deze gaat door. Ook kan de gebruiker niet alle sessies zien of deze op alle apparaten invullen. "Dus, zelfs als u op de een of andere manier begreep dat het Access Token is aangetast, dan is er geen mogelijkheid om het opnieuw in te stellen en daarmee te garanderen vanaf dit moment het ontbreken van een beoogde aanvaller toegang tot uw gegevens," schrijft de ontwikkelaar.
Hij merkte ook op dat in het geval van de Krash van de toepassing de diagnostische gegevens in de Sentry, zich op het adres niet gerelateerd, noch van de FTS, noch Fsue Gniivc FTS van Rusland (de ontwikkelaar "controleert cheques" - vc .Ru) en op het Sentry-domein .Studiotg.ru.
Daarna vond hij verwijzingen naar de Studiotg openbare repositories op de Gitlab, die zich in de Google-index bevinden, volgens de ontwikkelaar, meer dan een jaar. In de repositories vond hij mappen met aanpassingen "LKIO", "LKIP", "LKUL". Ze behoren tot dezelfde diensten van de FTS op het domein nalog.ru - lkio.nalog.ru, lkip.nalog.ru en lkul.nalog.ru.
"Voor verzoening dat de gedetecteerde bronnen betrekking hebben op de FTS-services, een eenvoudige controle van de aanwezigheid van het uppod-styles.txt-bestand op de Battle-webserver, die er geen toevallig toeval kan zijn, schrijft Piskunov.
Hij concludeerde dat de daadwerkelijke ontwikkelaar van de cheque "controleert" - Studiotg. De "Studio TG" -website, die zich bezighoudt met IT-advies- en softwareontwikkeling, van de projecten zijn het "Persoonlijke account van de belastingbetaler" van de FTS.
Piskunov is ook van mening dat de schuld van het bedrijf, de broncode van de belastingdienstcode in het publiek is. Het redactionele kantoor van VC.RU stuurde een verzoek en verwacht opmerkingen van de FTS en Studio TG.
# Nieuws # fts
Een bron