Програмер је пронашао податке након провере чек "Чекови" - од марта може се пратити све њихове куповине дате у Интернет услугама.
Изворни код неких услуга Федералне пореске службе (ФТС) био је у јавном приступу и подаци корисника о куповини - под могућом претњом цурења. Овај закључци су дошли у корисник "Хабра" Антон Пискунов.
Програмер је скренуо пажњу на апликацију Цхецк "Цхецк". Омогућује вам да добијете и чувате новчане чекове у електронском облику, проверите савесност продавца, пошаљите жалбе на њега и тако даље, пријављене на ФТС.
Користећи апликацију, корисник може скенирати КР код на електроничком чеку, који пошаље фискалну изјаву података (ОФД) након завршетка налога у било којој служби или продавници. На пример, након наручивања у Иандек.иед-у, Пискунов је дошао чек из Иандек ОИС-а.
Након скенирања, у Додатку се појављује електронска копија чека са потпуним подацима о поруџбини. 4. марта 2021. године, програмери су ажурирали "Провери чекове" додавањем "приказа чекова" функције "Моје провере".
Ако провјеравате аутентификацију у апликацији Цхецк "Цхецк Цхецк", одређивањем телефонског броја приложеног услугама попут "Иандек.еди", "Такси", "Скутер" и други, у одељку "Моје провере" аутоматски ће се приказати све чекове За све операције у овим услугама.
Пискунов је одлучио да провери како су сви ови подаци били заштићени добро. Да би то учинио, он је ставио јаз између Интернета и примену једноставног проки и, бележи мрежну активност апликације ", укинула је у тастере."
"Испоставило се да је крајња тачка са подацима налази се на адреси иццт-миле.Нологло.ру: 8888, која живи најједноставнија апликација на нодеј-у користећи Екпресс оквир. Механизам за аутентификацију корисника омогућава вам да подаци да ли сте правилно назначили заглавље "СессионИД", чија је вредност само-дефицентног токен генерисана на страни сервера ", додаје Пискунов.
Ако притиснете дугме "Екит" у апликацији Цхецк "Цхецк", неспособност токена се не појављује, наставља се. Такође, корисник не може да види све своје седнице или их доврши на свим уређајима. "Дакле, чак и ако сте некако разумели да је приступни токен угрожен, тада не постоји могућност да га ресетујете и на тај начин гаранција од овог тренутка недостатак намењеног приступа нападачу," пише програмер.
Такође је приметио да је у случају КРАСХ апликације, шаље дијагностичке податке у стражари, смештени на адреси не схваћеним, нити од ФС-а, нити ФСУЕ ГНИИВЦ ФТС Русије (програмер "Проверава провера" - ВЦ .Ру) и на странском домену .студиотг.ру.
Након тога, нашао је референце на студиотг јавне спремишта на гитлабу, који се налазе у Гоогле индексу, према програмеру, више од годину дана. У складиштима је нашао мапе који садрже прилагођавања "ЛКИО", "ЛКИП", "ЛКУЛ". Они припадају истим наметнутим услугама ФТС-а на домену Налог.ру - лкио.налог.ру, лкип.налог.ру и лкул.нолог.ру.
"За помирење да се откривени извори односе на услуге ФТС-а, једноставан чек на присуству датотеке УППОД-стилес.ткт датотека на баттле Веб серверу, што не може бити случајна случајност", пише Пискунов.
Закључио је да је стварни програмер провера "проверава" - СтудиоТГ. Веб локација "Студио ТГ", која је ангажована у ИТ консултантском и развоју софтвера, међу пројектима је "лични рачун пореског обвезника" са ФТС-а.
Пискунов такође верује да је компанија крива, изворни кодекс пореске службе у јавном приступу. Уредништво ВЦ.РУ је послао захтев и очекује коментаре са ФТС и Студио ТГ.
# Новости # ФТС
Извор