Natuklasan ng developer ang data pagkatapos na suriin ang check na "Mga tseke" - mula Marso maaari itong masubaybayan ang lahat ng kanilang mga pagbili na ginawa sa mga serbisyo sa Internet.
Ang source code ng ilan sa mga serbisyo ng Federal Tax Service (FTS) ay nasa pampublikong pag-access, at ang data ng mga gumagamit sa mga pagbili - sa ilalim ng posibleng banta ng tagas. Ang mga konklusyon na ito ay dumating ang "Habra" Anton Piskunov.
Ang developer ay nakuha ang pansin sa application na "Mga Pagsusuri". Pinapayagan ka nitong makakuha at mag-imbak ng mga tseke sa cash sa elektronikong form, suriin ang katapatan ng nagbebenta, magpadala ng mga reklamo dito at iba pa, iniulat sa FTS.
Gamit ang application, maaaring i-scan ng user ang QR code sa electronic check, na nagpapadala ng Fiscal Data Statement (OFD) pagkatapos makumpleto ang order sa anumang serbisyo o tindahan. Halimbawa, pagkatapos mag-order sa Yandex.ied, dumating ang Piskunov mula sa Yandex OIS.
Pagkatapos ng pag-scan, isang elektronikong kopya ng tseke na may buong data sa order ay lilitaw sa apendiks. Noong Marso 4, 2021, na-update ng mga developer ang "Check Checks" sa pamamagitan ng pagdaragdag ng "pagpapakita ng mga tseke mula sa function na" Aking Mga Pagsusuri Online "."
Kung kumuha ka ng pagpapatunay sa check na "Check Check" na application, na tumutukoy sa isang numero ng telepono na naka-attach sa mga serbisyo tulad ng "Yandex.edi", "Taxi", "Scooter" at iba pa, sa seksyon ng "Aking Mga Check" ay awtomatikong ipapakita ang lahat ng mga tseke Para sa lahat ng operasyon sa mga serbisyong ito.
Nagpasya ang Piskunov na suriin kung paano ang lahat ng mga data na ito ay mahusay na protektado. Upang gawin ito, inilagay niya ang agwat sa pagitan ng Internet at ang application ng isang simpleng proxy at, na nagre-record ng aktibidad ng network ng application, "naputol sa mga pindutan."
"Ito ay naka-out na ang endpoint sa data ay matatagpuan sa address ickt-mobile.nog.ru:8888, na nakatira sa pinakasimpleng app sa nodejs gamit ang express framework. Ang mekanismo ng pagpapatunay ng gumagamit ay nagbibigay-daan sa iyo ng data kung tama mong ipinahiwatig ang header ng "sessionID", ang halaga nito ay ang ilang mga self-deficent token na nabuo sa gilid ng server, "dagdag ni Piskunov.
Kung pinindot mo ang pindutang "Lumabas" sa application na "Mga tseke", ang Token Disability ay hindi mangyayari, patuloy ito. Gayundin, hindi makita ng user ang lahat ng mga session nito o kumpletuhin ang mga ito sa lahat ng mga device. "Kaya, kahit na alam mo na ang access token ay nakompromiso, pagkatapos ay walang posibilidad na i-reset ito at sa gayon ay garantiya mula sa sandaling ito ang kakulangan ng isang inilaan na pag-atake ng access sa iyong data," nagsusulat ang developer.
Napansin din niya na sa kaso ng KRASH ng application, nagpapadala ito ng diagnostic data sa Sentry, na matatagpuan sa address na hindi kaugnay, ni mula sa FTS, o FSUE GNIIVC FTS ng Russia (ang developer "check check" - VC .Ru), at sa domain ng sentry .Studiotg.ru.
Pagkatapos nito, natagpuan niya ang mga sanggunian sa mga pampublikong repositoryo ng Studiotg sa Gitlab, na matatagpuan sa index ng Google, ayon sa developer, higit sa isang taon. Sa mga repository, natagpuan niya ang mga folder na naglalaman ng mga pagsasaayos na "LKIO", "LKIP", "Lkul". Nabibilang sila sa parehong mga serbisyong pang-pangalan ng FTS sa domain nalog.ru - lkio.nalog.ru, lkip.nalog.ru at lkul.nog.ru.
"Para sa pagkakasundo na ang mga nakitang pinagkukunan ay may kaugnayan sa mga serbisyo ng FTS, isang simpleng tseke ng pagkakaroon ng uppod-styles.txt file sa web server ng labanan, na hindi maaaring magkaroon ng isang aksidenteng pagkakaisa," nagsusulat ng Piskunov.
Napagpasyahan niya na ang aktwal na developer ng check "check" - Studiotg. Ang "Studio TG" na website, na nakikibahagi sa ito pagkonsulta at pag-unlad ng software, kabilang sa mga proyekto ay ang "personal na account ng nagbabayad ng buwis" mula sa FTS.
Naniniwala din si Piskunov na ang kasalanan ng kumpanya, ang source code ng code ng serbisyo sa buwis ay nasa pampublikong pag-access. Ang Opisina ng Editoryal ng VC.RU ay nagpadala ng isang kahilingan at inaasahan ang mga komento mula sa FTS at Studio TG.
# News # fts.
Isang pinagmulan