Razvijalec je našla podatke po preverjanju čeka "Checks" - od marca je mogoče izslediti vse njihove nakupe v internetnih storitvah.
Izvorna koda nekaterih storitev zvezne davčne službe (FTS) je bila dostopna javnega dostopa, podatki uporabnikov o nakupih - pod morebitno grožnjo uhajanja. Ta sklepa je prišel uporabnik "Habra" Anton Piskanov.
Razvijalec je opozoril na aplikacijo Check "Checks". Omogoča vam, da dobite in shranjevanje gotovinskih pregledov v elektronski obliki, preverite vestno prodajalcu, pošljete pritožbe nanj in tako naprej, sporočeno FTS.
Z uporabo aplikacije lahko uporabnik skenira kodo QR na elektronski ček, ki pošlje fiskalno izjavo podatkov (OFD) po zaključku naročila v kateri koli storitve ali trgovini. Na primer, po naročilu v Yandex.ed, je Piskonov prišel preverjanje iz Yandex OIS.
Po skeniranju se v dodatku prikaže elektronska kopija čeka s popolnimi podatki o naročilu. 4. marca 2021, razvijalci posodobljene "preverite preglede" z dodajanjem "Prikaz čekov iz" Moji pregledi Online "Function."
Če jemljete avtentikacijo v aplikaciji Check "Check Check", navedite telefonsko številko, ki je pritrjena na storitve, kot so "Yandex.Edi", "Taxi", "Scooter" in drugi, v razdelku "Moje čeke" bo samodejno prikazal vse preglede Za vse dejavnosti v teh storitvah.
Piskonov se je odločil, da preveri, kako so bili vsi ti podatki dobro zaščiteni. Če želite to narediti, je dal v vrzel med internetom in uporabo preprostega pooblastila in, kar je snemal omrežno dejavnost aplikacije, "Pumbled v gumbe."
"Izkazalo se je, da se končna točka s podatki nahaja na naslovu Ickt-mobile.Nalog.ru:8888, ki živi najenostavnejše aplikacije na Nodejs z uporabo Express Okvir. Mehanizem za preverjanje pristnosti uporabnika vam omogoča, da podatki, če ste pravilno označili glavo »SessiesID«, katerih vrednost je na strani strežnika ustvarila nekaj samo-neprijeten žeton, «dodaja Piskanov.
Če pritisnete gumb "EXIT" v aplikaciji Check "Checks", se invalidnost žetonov ne pojavi, se nadaljuje. Prav tako uporabnik ne more videti vseh svojih sej ali jih dokončati na vseh napravah. "Torej, tudi če ste nekako razumeli, da je bil žeton za dostop ogrožen, potem ni možnosti, da bi ga ponastavila in s tem zagotovila pomanjkanje predvidenega napadalca dostop do vaših podatkov," devitelji razvijalec.
Opazil je tudi, da v primeru Kraš aplikacije pošlje diagnostične podatke v stražarju, ki se nahaja na naslovu, ki ni povezan, niti FTS, niti FTUE GNIIVC FTS RUSIJA (Razvijalec »Checks Checks Check« - VC .Ru) in na stranski domeni .studiotg.ru.
Po tem se je navedel sklicevanja na Studiotis javne repozitorije na Gitlabu, ki se nahajajo v Googlovem indeksu, po mnenju razvijalca, več kot eno leto. V repozitorijih je našla mape, ki vsebujejo prilagoditve "LKIO", "LKIP", "LKUL". Pripadajo istim imenom storitev FTS na domeni Nalog.ru - LKIO.NALOG.RU, LKIP.NALOG.RU IN LKUL.NALOG.RU.
"Za spravo, da se zaznani viri nanašajo na storitve FTS, preprosto preverjanje prisotnosti datoteke Uppod-Styles.txt na bojnem spletnem strežniku, ki ni mogla biti naključno naključje," piše Piskanov.
Ugotovil je, da je dejanski razvijalec kontrolnih "pregledov" - Studiotg. Spletna stran "Studio TG", ki se ukvarja s svetovanjem in razvojem programske opreme, med projekti, je "osebni račun davčnega zavezanca" iz FTS.
Piskonov prav tako meni, da je krivda družbe, izvorna koda kodeksa davčnih storitev v javnem dostopu. Uredniška pisarna VC.RU je poslala zahtevo in pričakuje pripombe FTS in Studio Tg.
# Novice # FTS
Vir