Developer zistil, že údaje po kontrole kontrolných "kontrol" - od marca môže byť sledovaný všetky svoje nákupy vyrobené v internetových službách.
Zdrojový kód niektorých služieb federálnej daňovej služby (FTS) bol vo verejnom prístupe a údaje používateľov na nákupy - podľa možnej hrozby úniku. Tieto závery prišli užívateľ "HABRA" ANTON PISKUNOV.
Vývojár upozornil na aplikáciu Kontrola "Kontroly". To vám umožní získať a ukladať hotovostné kontroly v elektronickej forme, skontrolovať svedomitosť predávajúceho, poslať sťažnosti na ňu a tak ďalej, nahlásené FTS.
Používanie aplikácie môže užívateľ skenovať QR kód na elektronickej šeku, ktorá po ukončení objednávky v akomkoľvek servise alebo obchode pošle príkaz FISCAL Data (OFD). Napríklad, po objednaní v Yandex.d, Piskunov prišiel šek od Yandex OIS.
Po skenovaní sa v doplnku objaví elektronická kópia šeku s úplnými údajmi o objednávke. Dňa 4, 2021, vývojári aktualizované "Skontrolujte kontroly" pridaním funkcie "Zobrazenie kontrol" Moje kontroly online "."
Ak vykonáte autentifikáciu v aplikácii Kontrola "Kontrola", zadanie telefónneho čísla pripojeného k službám, ako je "Yandex.edi", "Taxi", "Scooter" a ďalšie, v časti "Moje kontroly" automaticky zobrazí všetky kontroly Pre všetky operácie v týchto službách.
Piskunov sa rozhodol skontrolovať, ako boli všetky tieto údaje dobre chránené. Aby to urobil, vložil do medzery medzi internetom a aplikáciou jednoduchého proxy a zaznamenaním sieťovej aktivity aplikácie "na tlačidlách."
"Ukázalo sa, že koncový bod s údajmi sa nachádza na adrese ickt-mobile.nalog.ru:8888, ktorý žije najjednoduchšou aplikáciou na Nodejs pomocou expresného rámca. Mechanizmus autentifikácie používateľa vám umožňuje dát, ak ste správne označili hlavičku "SESSESID", ktorej hodnota je nejaký samo-defercentný token generovaný na strane servera, "dodáva Piskunov.
Ak stlačíte tlačidlo "EXIT" v aplikácii Kontrola "Kontrola", nepokračáva sa token, pokračuje. Aj užívateľ nemôže vidieť všetky svoje relácie alebo ich dokončiť na všetkých zariadeniach. "Tak, aj keď nejako pochopil, že prístupový token bol ohrozený, potom neexistuje možnosť resetovať ho a tým zaručiť z tohto momentu nedostatok zamýšľaného prístupu útočníka k vašim údajom," vývojár píše.
Tiež si všimol, že v prípade Krash žiadosti, pošle diagnostické údaje v Sentry, ktoré sa nachádza na adrese, ktorá nie je spojená, ani z FTS, ani FUSE HNIIVC FTS Ruska (developer "Kontrola" - VC .Ru) a na doméne Sentryho .Studiotg.ru.
Potom našiel odkazy na štúdio verejných archívov na Gitlab, ktoré sa nachádzajú v indexe Google, podľa developer, viac ako rok. V úložiskách našiel priečinky obsahujúce úpravy "LKIO", "LKIP", "LKUL". Patria k rovnakým názvom Služby FTS na doméne nalog.ru - lkio.nalog.ru, lkip.nalog.ru a lkul.nalog.ru.
"Zo zmien, že zistené zdroje sa týkajú služieb FTS, jednoduchý kontrola prítomnosti súboru UPPOD-SYLES.TXT na bitke webový server, ktorý nemohol byť náhodou náhoda," píše Piskunov.
Dospel k záveru, že skutočný vývojár kontrolnej kontroly "- Studiotg. Internetová stránka "Studio TG", ktorá je zapojená do IT poradenstva a vývoja softvéru, medzi projektmi, je "osobný účet daňovníka" z FTS.
Piskunova tiež verí, že chyba spoločnosti, zdrojový kód kódu daňovej služby je vo verejnom prístupe. Redakčný úrad VC.RU poslal žiadosť a očakáva komentáre z FTS a STUDIO TG.
# News # FTS
Zdroj