O desenvolvedor encontrou os dados depois de verificar o cheque "cheques" - de março, ele pode ser rastreado todas as suas compras feitas em serviços de Internet.
O código-fonte de alguns dos serviços do Serviço Fiscal Federal (FTS) tem estado em acesso público e os dados dos usuários em compras - sob uma possível ameaça de vazamento. Essas conclusões vieram o usuário "HABRA" Anton Piskunov.
O desenvolvedor chamou a atenção para o aplicativo de "cheques". Ele permite que você obtenha e armazene verificações em dinheiro em forma eletrônica, verifique a consciência do vendedor, envie reclamações para ela e assim por diante, relatada ao FTS.
Usando o aplicativo, o usuário pode digitalizar o código QR na verificação eletrônica, que envia a instrução Data Fiscal (OFD) depois de concluir o pedido em qualquer serviço ou loja. Por exemplo, depois de encomendar em Yandex., Piskunov veio o cheque de Yandex Ois.
Após a digitalização, uma cópia eletrônica do cheque com dados completos no pedido aparece no Apêndice. Em 4 de março de 2021, os desenvolvedores atualizaram "Verificações de verificação" Adicionando a "exibição de verificações da função" Meus Cheques Online "."
Se você tomar autenticação no aplicativo "Marque Marque", especificando um número de telefone anexado aos serviços como "yandex.edi", "táxi", "scooter" e outros, na seção "My Cheques" exibirá automaticamente todas as verificações para todas as operações nesses serviços.
Piskunov decidiu verificar como todos esses dados estavam protegidos bem. Para fazer isso, ele colocou na lacuna entre a Internet e a aplicação de um simples proxy e, registrando a atividade de rede do aplicativo ", encalhado nos botões".
"Descobriu-se que o endpoint com os dados está localizado no endereço ickt-mobile.nalog.ru: 8888, que vive o aplicativo mais simples de Nodejs usando o framework Express. O mecanismo de autenticação do usuário permite que você os dados se você indicasse corretamente o cabeçalho "sessionídeo", cujo valor é um token autodicente gerado no lado do servidor ", adiciona Piskunov.
Se você pressionar o botão "Exit" no aplicativo Marque "Cheques", a incapacidade do token não ocorrerá, continua. Além disso, o usuário não pode ver todas as suas sessões ou completá-las em todos os dispositivos. "Assim, mesmo que você tenha entendido de alguma forma que o token de acesso foi comprometido, então não há possibilidade de redefini-lo e, assim, garantir a partir deste momento a falta de acesso ao atacante pretendido aos seus dados", escreve o desenvolvedor.
Ele também notou que, no caso do Krash do aplicativo, ele envia os dados de diagnóstico na sentinela, localizados no endereço não relacionado, nem do FTS, nem FSue GNIIVC FTS da Rússia (o desenvolvedor "Cheques" - VC .Ru) e no domínio da sentinela .Tudiotg.ru.
Depois disso, ele encontrou referências aos repositórios públicos StudioTG no Gitlab, que estão localizados no índice do Google, de acordo com o desenvolvedor, mais de um ano. Nos repositórios, ele encontrou pastas contendo ajustes "lkio", "lkip", "lkul". Eles pertencem aos serviços iguais do FTS no domínio nalog.ru - lkio.nalog.ru, lkip.nalog.ru e lkul.nalog.ru.
"Para reconciliação que as fontes detectadas se relacionam com os serviços do FTS, uma versão simples da presença do arquivo uppod-styles.txt no servidor da Web de batalha, que não poderia estar lá uma coincidência acidental", escreve Piskunov.
Ele concluiu que o desenvolvedor real do cheque "cheques" - Studiotg. O site "Studio TG", que está envolvido em consultoria e desenvolvimento de software de TI, entre os projetos, são a "conta pessoal do contribuinte" do FTS.
Piskunov também acredita que a falha da empresa, o código-fonte do código de serviço fiscal está no acesso público. O posto editorial de VC.ru enviou uma solicitação e espera comentários do FTS e do Studio TG.
# Notícias # fts
Uma fonte