开发人员在检查“支票”后发现数据 - 从3月开始,它可以通过互联网服务进行所有购买。
联邦税务服务(FTS)的一些服务的源代码一直在公开访问,并在可能的泄漏威胁下进行的用户数据。这一结论来自用户“Habra”安东帕斯克诺夫。
开发人员提请注意检查“检查”应用程序。它允许您以电子形式获取和存储现金支票,检查卖方的勤参,向FTS发送投诉等,向FTS报告。
使用该应用程序,用户可以在电子检查上扫描QR码,在完成任何服务或商店的订单后发送财政数据语句(OFD)。例如,在Yandex.ied中排序后,Piskunov来自Yandex OIS的支票。
扫描后,附录中显示了有关订单的完整数据的检查的电子副本。在3月4日,2021年,开发人员通过添加“从”在线“功能”函数的“检查”来更新“检查”检查“。
如果在检查“检查检查”应用程序中进行身份验证,请指定与“Yandex.edi”,“出租车”,“滑板车”等服务附加的电话号码,在“我的支票”部分中将自动显示所有检查对于这些服务中的所有操作。
PIKSUNOV决定检查所有这些数据如何妥善保护。为此,他介绍了互联网之间的差距和应用了一个简单的代理,并记录了应用程序的网络活动,“隆起”。“
“事实证明,带有数据的端点位于地址ickt-mobile.nalog.ru:8888,它使用快速框架在NodeJS上生存最简单的应用程序。用户身份验证机制允许您数据正确指示“SessionID”标题,其中的值是服务器端生成的某些自我缺陷令牌,“添加PIKSUNOV。
如果在检查“检查”应用程序中的“退出”按钮,则不会发生令牌残疾,继续。此外,用户无法查看所有会话或在所有设备上完成它们。 “因此,即使你以某种方式了解访问令牌受到损害,那么没有可能重置它,从而保证从这一刻缺乏预期的攻击者对您的数据访问,”开发人员写道。
他还注意到,在应用程序的KRASH的情况下,它将派遣中的诊断数据发送在不相关的地址,也不是FTS,也不是俄罗斯的FSUE GNIIVC FTS(开发人员“检查”检查“ - VC .ru),以及sentry domain .studiotg.ru。
之后,他发现了对Google索引的Giitlab上的Studiotg公共存储库的引用,根据开发人员,超过一年。在存储库中,他发现包含调整“Lkio”,“Lkip”,“Lkul”的文件夹。它们属于域Nalog.ru - lkio.nalog.ru,lkip.nalog.ru和lkul.nalog.ru上的FTS的同名服务。
“对于调节,检测到的来源与FTS服务有关,简单地检查战斗Web服务器上的UPPod-stylees.txt文件的存在,这可能不会出于意外巧合,”PIKSUNOV写道。
他得出结论,检查“检查”的实际开发商 - Studiotg。从事IT咨询和软件开发的“Studio TG”网站是FTS的“纳税人的个人帐户”。
PIKSUNOV还认为该公司的故障,税务服务代码的源代码是公共访问。 VC.RU编辑部发送了一个请求并预计FTS和Studio TG的评论。
#新闻#FTS
来源