開發人員在檢查“支票”後發現數據 - 從3月開始,它可以通過互聯網服務進行所有購買。
聯邦稅務服務(FTS)的一些服務的源代碼一直在公開訪問,並在可能的洩漏威脅下進行的用戶數據。這一結論來自用戶“Habra”安東帕斯克諾夫。
開發人員提請注意檢查“檢查”應用程序。它允許您以電子形式獲取和存儲現金支票,檢查賣方的勤參,向FTS發送投訴等,向FTS報告。
使用該應用程序,用戶可以在電子檢查上掃描QR碼,在完成任何服務或商店的訂單後發送財政數據語句(OFD)。例如,在Yandex.ied中排序後,Piskunov來自Yandex OIS的支票。
掃描後,附錄中顯示了有關訂單的完整數據的檢查的電子副本。在3月4日,2021年,開發人員通過添加“從”在線“功能”函數的“檢查”來更新“檢查”檢查“。
如果在檢查“檢查檢查”應用程序中進行身份驗證,請指定與“Yandex.edi”,“出租車”,“滑板車”等服務附加的電話號碼,在“我的支票”部分中將自動顯示所有檢查對於這些服務中的所有操作。
PIKSUNOV決定檢查所有這些數據如何妥善保護。為此,他介紹了互聯網之間的差距和應用了一個簡單的代理,並記錄了應用程序的網絡活動,“隆起”。“
“事實證明,帶有數據的端點位於地址ickt-mobile.nalog.ru:8888,它使用快速框架在NodeJS上生存最簡單的應用程序。用戶身份驗證機制允許您數據正確指示“SessionID”標題,其中的值是服務器端生成的某些自我缺陷令牌,“添加PIKSUNOV。
如果在檢查“檢查”應用程序中的“退出”按鈕,則不會發生令牌殘疾,繼續。此外,用戶無法查看所有會話或在所有設備上完成它們。 “因此,即使你以某種方式了解訪問令牌受到損害,那麼沒有可能重置它,從而保證從這一刻缺乏預期的攻擊者對您的數據訪問,”開發人員寫道。
他還注意到,在應用程序的KRASH的情況下,它將派遣中的診斷數據發送在不相關的地址,也不是FTS,也不是俄羅斯的FSUE GNIIVC FTS(開發人員“檢查”檢查“ - VC .ru),以及sentry domain .studiotg.ru。
之後,他發現了對Google索引的Giitlab上的Studiotg公共存儲庫的引用,根據開發人員,超過一年。在存儲庫中,他發現包含調整“Lkio”,“Lkip”,“Lkul”的文件夾。它們屬於域Nalog.ru - lkio.nalog.ru,lkip.nalog.ru和lkul.nalog.ru上的FTS的同名服務。
“對於調節,檢測到的來源與FTS服務有關,簡單地檢查戰鬥Web服務器上的UPPod-stylees.txt文件的存在,這可能不會出於意外巧合,”PIKSUNOV寫道。
他得出結論,檢查“檢查”的實際開發商 - Studiotg。從事IT諮詢和軟件開發的“Studio TG”網站是FTS的“納稅人的個人帳戶”。
PIKSUNOV還認為該公司的故障,稅務服務代碼的源代碼是公共訪問。 VC.RU編輯部發送了一個請求並預計FTS和Studio TG的評論。
#新聞#FTS
來源