Zhvilluesi gjeti të dhënat pas kontrollit të "kontrolleve" të kontrollit - nga marsi mund të gjurmohet të gjitha blerjet e tyre të bëra në shërbimet e internetit.
Kodi burimor i disa prej shërbimeve të Shërbimit Tatimor Federal (FTS) ka qenë në qasje publike dhe të dhënat e përdoruesve për blerje - nën një kërcënim të mundshëm të rrjedhjes. Këto përfundime erdhën përdoruesi "Habra" Anton Piskunov.
Zhvilluesi tërhoqi vëmendjen në aplikacionin e kontrollit "Checks". Kjo ju lejon të merrni dhe të ruani kontrolle të holla në formë elektronike, kontrolloni ndërgjegjen e shitësit, dërgoni ankesa për të dhe kështu me radhë, raportoni në FTS.
Duke përdorur aplikacionin, përdoruesi mund të skanojë kodin QR në kontrollin elektronik, i cili dërgon deklaratën e të dhënave fiskale (OFD) pas përfundimit të urdhrit në çdo shërbim ose dyqan. Për shembull, pas urdhërimit në yandex.ied, Piskunov erdhi kontrolli nga Yandex Ois.
Pas skanimit, një kopje elektronike e kontrollit me të dhëna të plota në shtojcën. Më 4 mars 2021, zhvilluesit përditësuan "kontrollon kontrollet" duke shtuar "shfaqjen e kontrolleve nga" kontrollet e mia online "."
Nëse merrni autentifikim në aplikacionin "Check Check", duke specifikuar një numër telefoni të bashkangjitur në shërbimet si "Yandex.edi", "Taxi", "Scooter" dhe të tjerët, në seksionin "Kontrollet e mia" do të shfaqin automatikisht të gjitha kontrollet për të gjitha operacionet në këto shërbime.
Piskunov vendosi të kontrollonte se si të gjitha këto të dhëna u mbrojtën mirë. Për ta bërë këtë, ai vuri në hendekun midis internetit dhe aplikimit të një prokurori të thjeshtë dhe, duke regjistruar aktivitetin e rrjetit të aplikacionit, "u shtua në butona".
"Doli se fundi me të dhënat është e vendosur në adresën Ickt-mobile.nalog.ru:8888, e cila jeton aplikacionin më të thjeshtë në Nodehss duke përdorur kornizën Express. Mekanizmi i autentifikimit të përdoruesit ju lejon të dhënat nëse keni treguar saktë kokën "Sesioni", vlera e së cilës është një shenjë vetë-defiçente e gjeneruar në anën e serverit ", shton Piskunov.
Nëse shtypni butonin "Exit" në aplikacionin "Checks" të kontrollit, paaftësia e shenjës nuk ndodh, vazhdon. Gjithashtu, përdoruesi nuk mund të shohë të gjitha seancat e saj ose t'i plotësojë ato në të gjitha pajisjet. "Kështu, edhe nëse e kuptova disi se token e qasjes ishte komprometuar, atëherë nuk ka mundësi të rivendosë atë dhe në këtë moment të garantojë nga ky moment mungesa e një aksesi të synuar të sulmuesit në të dhënat tuaja", shkruan zhvilluesi.
Ai gjithashtu vuri re se në rastin e Krashit të aplikacionit, dërgon të dhënat diagnostike në Sentry, që ndodhet në adresën që nuk është e lidhur, as nga FTS, as FSTE GNIIVC FTS të Rusisë (Developer "Checks Checks" - VC .Ru), dhe në domenin e sentry .Studiotg.ru.
Pas kësaj, ai gjeti referenca për depozitat publike të studiotit në gitlab, të cilat ndodhen në indeksin e Google, sipas zhvilluesit, më shumë se një vit. Në depot, ai gjeti dosjet që përmbajnë rregullime "lkio", "LKIP", "LKUL". Ata i përkasin shërbimeve të njëjta të emrave të FTS në domenin nalog.ru - lkio.nalog.ru, lkip.nalog.ru dhe lkul.nalog.ru.
"Për pajtimin që burimet e zbuluara lidhen me shërbimet e FTS, një kontroll i thjeshtë i pranisë së skedarit Uppod-Styles.txt në Web Serverin e Betejës, i cili nuk mund të ketë një rastësi aksidentale", shkruan Piskunov.
Ai arriti në përfundimin se zhvilluesi aktual i "kontrolleve" të kontrollit - Stuotg. Faqja e internetit "Studio TG", e cila është e angazhuar në konsultimin e IT dhe zhvillimin e softuerit, në mesin e projekteve janë "llogaria personale e tatimpaguesit" nga FTS.
Piskunov gjithashtu beson se faji i kompanisë, kodi burimor i kodit të shërbimit tatimor është në qasje publike. Zyra editoriale e VC.RU dërgoi një kërkesë dhe pret komentet nga FTS dhe Studio TG.
# Lajme # FTS
Një burim