Dezvoltatorul a găsit datele după verificarea verificării "verificări" - din martie poate fi urmărită toate achizițiile lor efectuate în serviciile de internet.
Codul sursă al unora dintre serviciile Serviciului Fiscal Federal (FTS) a fost în acces public și datele utilizatorilor de achiziții - sub o posibilă amenințare de scurgere. Aceste concluzii au venit utilizatorul "Hrabra" Anton Piskunov.
Dezvoltatorul a atras atenția asupra cererii "verifică". Vă permite să obțineți și să stocați controale în numerar în formularul electronic, să verificați conștiința vânzătorului, să trimiteți plângeri la acesta și așa mai departe, raportate la FTS.
Folosind aplicația, utilizatorul poate scana codul QR la verificarea electronică, care trimite instrucțiunea de date fiscale (OFD) după finalizarea comenzii în orice serviciu sau magazin. De exemplu, după comandarea în Yandex.Ded, Piskunov a venit cecul de la Yandex Ois.
După scanare, o copie electronică a cecului cu date complete din anexă apare în apendice. La data de 4 martie 2021, dezvoltatorii au actualizat "verificarea verificărilor" adăugând funcția "Afișarea verificărilor din funcția" Verificările mele online "."
Dacă luați autentificarea în cererea de verificare "Verificați verificarea", specificând un număr de telefon atașat serviciilor precum "Yandex.edi", "Taxi", "Scooter" și alții, în secțiunea "Cecuri de verificare" va afișa automat toate verificările Pentru toate operațiunile din aceste servicii.
Piskunov a decis verificarea modului în care toate aceste date au fost protejate bine. Pentru a face acest lucru, el a pus în decalajul dintre Internet și aplicarea unui simplu proxy și, înregistrând activitatea de rețea a aplicației ", a dat în butoane".
"Sa dovedit că punctul final al datelor este situat la adresa ickt-mobile.nalog.ru:8888, care trăiește cea mai simplă aplicație pe Nodejs folosind cadrul Express. Mecanismul de autentificare a utilizatorului vă permite să datezi dacă ați indicat corect antetul "SessionID", a căror valoare este un simbol auto-deficient generat pe partea serverului ", adaugă Piskunov.
Dacă apăsați butonul "Ieșire" din cecul "verifică", dizabilitatea token nu apare, continuă. De asemenea, utilizatorul nu poate vedea toate sesiunile sale sau să le completeze pe toate dispozitivele. "Astfel, chiar dacă ați înțeles cumva că jetonul de acces a fost compromis, atunci nu există nicio posibilitate de ao reseta și, prin urmare, garantează din acest moment lipsa unui acces la atacator intenționat la datele dvs.", scrie dezvoltatorul.
El a observat, de asemenea, că, în cazul Krash a aplicației, acesta trimite datele de diagnosticare în Sentry, situate la adresa care nu este legată, nici din FTS, nici FSU GNIIVC FTS din Rusia (verificarea dezvoltatorului "- VC .Ru), și pe domeniul Sentry .Studiotg.ru.
După aceea, a găsit referințe la depozitele publice studiotg de pe Gitlab, care se află în Indexul Google, potrivit dezvoltatorului, mai mult de un an. În depozite, el a găsit dosare care conțin ajustări "Lkio", "Lkip", "Lkul". Acestea aparțin aceleiași servicii ale FTS pe domeniu nog.ru - lkio.nalog.ru, lkip.nalog.ru și lkul.nalog.ru.
"Pentru reconcilierea surselor detectate se referă la serviciile FTS, o verificare simplă a prezenței fișierului Uppod-Styles.txt pe serverul Web Battle, care nu a putut fi o coincidență accidentală", scrie Piskunov.
El a concluzionat că dezvoltatorul real al verificării "verificări" - studiouri. Site-ul "Studio TG", care este angajat în consultanță IT și dezvoltare de software, printre proiecte, este "contul personal al contribuabilului" de la FTS.
Piskunov, de asemenea, consideră că vina companiei, codul sursă al Codului de serviciu fiscal este în acces public. Biroul editorial al VC.RU a trimis o cerere și așteaptă comentarii de la FTS și Studio Tg.
# Știri # FTS
O sursă