Deweloper znalazł dane po sprawdzeniu sprawdzania "kontroli" - od marca można prześledzić wszystkie zakupy w usługach internetowych.
Kodeks źródłowy niektórych usług federalnych usług podatkowych (FTS) został w miejscu publicznym oraz dane użytkowników w sprawie zakupów - w możliwym zagrożeniu wycieku. Wnioski te przyszły użytkownik "Habra" Anton Piskunov.
Deweloper zwrócił uwagę na aplikację "Sprawdzanie". Pozwala uzyskać i przechowywać kontrole gotówkowe w formie elektronicznej, sprawdź sumienność sprzedawcy, wyślij skargi do niego i tak dalej, zgłoszone do FTS.
Korzystając z aplikacji, użytkownik może zeskanować kod QR na czeku elektronicznego, który wysyła instrukcję danych fiskalnych (OFD) po zakończeniu zamówienia w dowolnej usługi lub przechowywaniu. Na przykład, po zamówieniu w Yandex.ied, Piskunov przyszedł czek z Yandex OI.
Po skanowaniu elektroniczna kopia czeku z pełnymi danymi na zamówieniu pojawia się w dodatku. W dniu 4 marca 2021 r. Deweloperzy zaktualizowali "sprawdzanie kontroli", dodając "Wyświetlanie kontroli z funkcji" Moje kontrole "."
Jeśli weźmiesz uwierzytelnianie w aplikacji "Sprawdź kontrolę", określając numer telefonu dołączony do usług, takich jak "Yandex.edi", "Taxi", "Scooter" i inni, w sekcji "Moje czeki" automatycznie wyświetlą wszystkie czeki Dla wszystkich operacji w tych usługach.
Piskunov postanowił sprawdzić, jak wszystkie te dane były dobrze chronione. Aby to zrobić, włożył lukę między Internetem a zastosowaniem prostego proxy i, nagrywanie aktywności sieci aplikacji "- piętrzył do przycisków".
"Okazało się, że punkt końcowy z danymi znajduje się na adres ICKT-Mobile.nnalog.ru:8888, który żyje najprostszą aplikacją na Nodejs za pomocą ekspresowych ram. Mechanizm uwierzytelniania użytkownika pozwala na dane, jeśli poprawnie wskazywałeś nagłówek "SessionID", którego wartość jest niektóre samookaleczne token generowany po stronie serwera ", dodaje Piskunov.
Jeśli naciśniesz przycisk "Wyjdź" w aplikacji "Sprawdzanie", niepełnosprawność token nie wystąpi, kontynuuje. Ponadto Użytkownik nie może zobaczyć wszystkich swoich sesji ani ukończyć ich na wszystkich urządzeniach. "Tak więc, nawet jeśli w jakiś sposób zrozumiałeś, że token dostępu został naruszony, wówczas nie ma możliwości zresetowania go, a tym samym gwarancji z tego momentu braku zamierzonego dostępu do twoich danych", pisze deweloper.
Zauważył również, że w przypadku Krashu aplikacji wysyła dane diagnostyczne w Sentry, znajdującym się pod adresem nie związanym, ani z FTS, ani FSUE GNIIVC FTS Rosji (deweloper "sprawdzanie" - VC .RU), a na domenie wartownika .Studiotg.ru.
Następnie znalazł odniesienia do publicznych repozytoriów Studiotg na Gitlab, które znajdują się w indeksie Google, według dewelopera, ponad rok. W repozytoriach znalazł foldery zawierające regulacje "Lkio", "Lkip", "LKUL". Należą do takich samych nazwisk FTS na domenie Nalog.ru - Lkio.nnalog.ru, lkip.nnalog.ru i lkul.nnalog.ru.
"W celu pojednania, że wykryte źródła odnoszą się do usług FTS, proste sprawdzenie obecności pliku Uppod-Styles.txt na serwerze Web Battle Web Server, który nie mógł być przypadkowy przypadek," pisze Piskunov.
Doszedł do wniosku, że rzeczywista deweloper czeków "czeków" - Studiotg. Strona internetowa "Studio TG", która jest zaangażowana w informatykę IT i opracowanie oprogramowania, wśród projektów jest "osobiste konto podatnika" z FTS.
Piskunov uważa również, że wina Spółki, kodeks źródłowy kodu usługi podatkowej jest dostępny dostęp do publicznego. Redakcja VC.ru Wysłała prośbę i oczekuje komentarzy FTS i Studio Tg.
# News # FTS
Źródło