Контакты Telegram: @recodepress

Привет, что ищешь?

Новости

Пользователь Habr обнаружил исходники сервисов ФНС в публичном доступе

Антон Пискунов выяснил это после исследования приложения «Проверка чеков». Оно было разработано налоговой для получения и хранения кассовых чеков в электронном виде.

Благодаря 54-ФЗ «О применении ККТ» появился сервис ОФД, который генерирует и отправляет пользователям фискальные данные об интернет-покупках в виде чека. Эти же данные поступают также и в налоговую. Любой подобный чек всегда содержит несколько обязательных идентификаторов в натуральном виде и в виде QR-кода, который можно отсканировать с помощью приложения «Проверка чека».

На примере сервиса заказа еды от Яндекса пользователь Habr продемонстрировал, что в этом приложении появляется электронная копия чека с подробным и детальным списком покупок, имеющим различные атрибуты.

Пискунов заметил, что, начиная с обновления 2.15.0, в рамках которого добавили функциональность отображения чеков из сервиса «Мои Чеки Онлайн», после аутентификации в приложении «Проверка чека» через номер телефона, который также используется и в других популярных сервисах, например, в Яндекс.Еда, Самокат, Ситимобил и прочих, будут отображены все чеки пользователя по всем операциям в этих сервисах за «всё время». Антон Пискунов отметил, что до этого момента приложение оперировало только лишь теми данными, информация о которых поступала после сканирования QR-кодов самим пользователем.

Чеки пользователя по всем операциям в сервисах за «всё время»
Чеки пользователя по всем операциям в сервисах за «всё время»

Исследователю сразу же стало интересно, насколько хорошо такой огромный массив данных защищён и может ли предполагаемый злоумышленник получить несанкционированный доступ к нему. Для этого он поставил в разрыв между интернетом и приложением «Проверка чека» простой прокси, чтобы записать сетевую активность приложения.

Довольно быстро выяснилось, что конечная точка с данными находится по адресу irkkt-mobile.nalog.ru:8888, на котором используется простейшее приложение на NodeJS с применением фреймворка Express. Механизм аутентификации пользователя пускает к данным при верном указании заголовка «sessionId». Его значение представляет из себя токен, который генерируется на стороне сервера.

При этом обнаружилось, что при компрометации токена нет никакой возможности его сбросить для гарантии отсутствия у предполагаемого злоумышленника доступа данным. Кроме того, Пискунов обратил внимание, что в случае ошибок приложения диагностические данные отправляются на домен sentry.studiotg.ru, зарегистрированный на физическое лицо, который не связан ни с ФНС, ни с ФГУП ГНИИВЦ ФНС РФ. Дальнейшее исследование его привело к ссылкам на публичные репозитории, индексируемыми поиском Google уже более года.

При исследовании содержимого репозиториев, пользователь Habr обнаружил исходники сервисов ФНС. Исходя из общей картины, он предположил, что данные о покупках россиян, попадающие в ОФД путём информационного обмена фискальными данными ФНС, находятся под угрозой утечки.

Оставить комментарий

Комментировать через социальные сети:

Advertisement

Рекомендованные

Бизнес

Вчера Павел Дуров написал в телеграм-канале о закрытии криптовалютного проекта Telegram Open Network (TON). В 2018 году Дуров привлек на разработку TON $1,7 млрд от ограниченного круга...

Бизнес

Компания Hikvision совместно с облачным сервисом видеонаблюдения и видеоаналитики Ivideon представили линейку новых моделей IP-камер. Устройства имеют заводскую прошивку, которая обеспечивают доступ в облако Ivideon...

Бизнес

Ак Барс Банк подключился к блокчейн-платформе Федеральной налоговой службы РФ, которая способствует ускоренному рассмотрению банком заявок юридических лиц и индивидуальных предпринимателей, пострадавших от пандемии коронавирусной инфекции. Сервис позволяет...

Бизнес

Известный предприниматель Владимир Горбунов в ходе онлайн-конференции, посвященной развитию бизнеса в период коронавируса, заявил, что главным трендом ближайших лет станут интернет-технологии. Самоизоляция многих заставила...