Nhà phát triển đã tìm thấy dữ liệu sau khi kiểm tra "kiểm tra" - từ tháng 3, nó có thể được truy tìm tất cả các giao dịch mua của họ được thực hiện trong các dịch vụ Internet.
Mã nguồn của một số dịch vụ của dịch vụ thuế liên bang (FTS) đã được truy cập công cộng và dữ liệu của người dùng khi mua hàng - trong một mối đe dọa rò rỉ có thể xảy ra. Kết luận này đã đến với người dùng "Habra" Anton Piskunov.
Nhà phát triển đã thu hút sự chú ý đến ứng dụng kiểm tra kiểm tra. Nó cho phép bạn có được và lưu trữ séc tiền mặt ở dạng điện tử, kiểm tra sự lương tâm của người bán, gửi khiếu nại đến nó, v.v., báo cáo với FTS.
Sử dụng ứng dụng, người dùng có thể quét mã QR trên séc điện tử, gửi câu lệnh dữ liệu tài chính (OFD) sau khi hoàn tất đơn hàng trong bất kỳ dịch vụ hoặc cửa hàng nào. Ví dụ: sau khi đặt hàng tại Yandex.ied, Piskunov đã nhận séc từ Yandex OIS.
Sau khi quét, một bản sao điện tử của séc với dữ liệu đầy đủ trên đơn hàng sẽ xuất hiện trong Phụ lục. Vào ngày 4 tháng 3 năm 2021, các nhà phát triển đã cập nhật "kiểm tra kiểm tra" bằng cách thêm "Hiển thị séc từ chức năng" My Séc trực tuyến "."
Nếu bạn thực hiện ứng dụng kiểm tra "kiểm tra kiểm tra", hãy chỉ định một số điện thoại được đính kèm với các dịch vụ như "Yandex.edi", "Taxi", "Xe tay ga" và các phần khác, trong phần "My Séc" sẽ tự động hiển thị tất cả các séc Đối với tất cả các hoạt động trong các dịch vụ này.
Piskunov quyết định kiểm tra xem tất cả các dữ liệu này được bảo vệ tốt như thế nào. Để làm điều này, anh ta đưa vào khoảng cách giữa Internet và ứng dụng của một proxy đơn giản và, ghi lại hoạt động mạng của ứng dụng, "bị phạt vào các nút".
"Hóa ra rằng điểm cuối với dữ liệu được đặt tại địa chỉ ickt-mobile.rug.ru:8888888, sống ứng dụng đơn giản nhất trên nodejs bằng cách sử dụng khung thể hiện. Cơ chế xác thực người dùng cho phép bạn dữ liệu nếu bạn chỉ định chính xác tiêu đề "sessionid", giá trị của một số mã thông báo tự khử mùi được tạo trên phía máy chủ, "thêm piskunov.
Nếu bạn nhấn nút "Thoát" trong ứng dụng Kiểm tra "Kiểm tra", khả năng khuyết tật mã thông báo không xảy ra, nó vẫn tiếp tục. Ngoài ra, người dùng không thể thấy tất cả các phiên của nó hoặc hoàn thành chúng trên tất cả các thiết bị. "Do đó, ngay cả khi bạn hiểu rằng bằng cách nào đó, mã thông báo truy cập đã bị xâm nhập, sau đó không có khả năng thiết lập lại nó và do đó đảm bảo từ thời điểm này, việc thiếu một kẻ tấn công dự định truy cập vào dữ liệu của bạn", nhà phát triển viết.
Ông cũng nhận thấy rằng trong trường hợp Krash của ứng dụng, nó sẽ gửi dữ liệu chẩn đoán trong Sentry, đặt tại địa chỉ không liên quan, cũng như từ FTS, cũng không phải FSUE Gniivc FTS của Nga (Nhà phát triển kiểm tra kiểm tra trực tuyến - VC .Ru), và trên miền Sentry .studiotg.ru.
Sau đó, ông đã tìm thấy các tham chiếu đến các kho lưu trữ công cộng của Studiotg trên Gitlab, được đặt trong Google Index, theo nhà phát triển, hơn một năm. Trong kho lưu trữ, anh tìm thấy các thư mục chứa các điều chỉnh "lkio", "lkip", "lkul". Chúng thuộc về các dịch vụ giống nhau của FT trên miền Nalog.ru - lkio.nalog.ru, lkip.nalog.ru và lkul.nalog.ru.
"Để hòa giải rằng các nguồn phát hiện liên quan đến các dịch vụ FTS, kiểm tra đơn giản về sự hiện diện của tệp Uppod-Styles.txt trên máy chủ Web Battle, không thể có một sự trùng hợp ngẫu nhiên", Piskunov.
Ông kết luận rằng nhà phát triển thực tế của séc "séc" - Studiotg. Trang web "Studio TG", đang tham gia vào việc tư vấn và phát triển phần mềm CNTT, trong số các dự án là "tài khoản cá nhân của người nộp thuế" từ FTS.
Piskunov cũng tin rằng lỗi của công ty, mã nguồn của mã dịch vụ thuế đang truy cập công cộng. Văn phòng biên tập của VC.RU đã gửi yêu cầu và mong đợi các bình luận từ FTS và Studio TG.
# Tin tức # fts
Một nguồn