Флешмоб против ИИ
Как Трамп покупал Tesla

Пользователь «Хабра» нашёл в публичном доступе исходный код нескольких сервисов налоговой — он открыт около года

Разработчик нашёл данные после проверки приложения «Проверка чеков» — с марта в нём можно отследить все свои покупки, сделанные в интернет-сервисах.

Исходный код некоторых сервисов Федеральной налоговой службы (ФНС) уже около года находится в открытом доступе, а данные пользователей о покупках — под возможной угрозой утечки. К таким выводам пришёл пользователь «Хабра» Антон Пискунов.

Разработчик обратил внимание на приложение «Проверка чеков». Оно позволяет получать и хранить кассовые чеки в электронном виде, проверять добросовестность продавца, отправлять на него жалобы и так далее, сообщали в ФНС.

С помощью приложения пользователь может отсканировать QR-код на электронном чеке, который присылает оператор фискальных данных (ОФД) после завершения заказа в каком-либо сервисе или магазине. Например, после заказа в «Яндекс.Еде» Пискунову пришёл чек от «Яндекс ОФД».

Антон Пискунов
Антон Пискунов

После сканирования в приложении появляется электронная копия чека с полными данными о заказе. 4 марта 2021 года разработчики обновили «Проверку чеков», добавив функцию «отображение чеков из сервиса «“Мои Чеки Онлайн”».

Если пройти аутентификацию в приложении «Проверка чека», указав номер телефона, привязанный к сервисам вроде «Яндекс.Еды», «Такси», «Самоката» и другим, в разделе «Мои чеки» автоматически будут отображены все чеки по всем операциям в этих сервисах.

«Мои чеки» в приложении «Проверка чеков»
«Мои чеки» в приложении «Проверка чеков»

Пискунов решил проверить, как хорошо защищены все эти данные. Для этого он поставил в разрыв между интернетом и приложением простой прокси и, записывая сетевую активность приложения, «потыкал в кнопки».

«Выяснилось, что эндпоинт с данными находится по адресу irkkt-mobile.nalog.ru:8888, на котором живёт простейшее приложение на NodeJS с применением фреймворка Express. Механизм аутентификации пользователя пускает тебя к данным, если ты верно указал заголовок “sessionId”, значение которого представляет из себя какой-то самопальный токен, генерирующийся на стороне сервера», — добавляет Пискунов.

Если нажать кнопку «Выйти» в приложении «Проверка чеков», инвалидации токена не происходит, продолжает он. Также пользователь не может посмотреть все свои сессии или завершить их на всех устройствах. «Таким образом, даже если вы каким-то образом поняли что токен доступа был скомпрометирован, то нет никакой возможности его сбросить и тем самым гарантировать с этого момента отсутствие у предполагаемого злоумышленника доступа к вашим данным», — пишет разработчик.

Он также обратил внимание, что в случае крэша приложения оно отправляет диагностические данные в Sentry, располагающийся по адресу, не связанному, ни с ФНС, ни с ФГУП ГНИИВЦ ФНС России (разработчик «Проверка чеков» — vc.ru), а на домен sentry.studiotg.ru.

После этого он нашёл ссылки на публичные репозитории StudioTG на GitLab, которые находятся в индексе Google, по словам разработчика, более года. В репозиториях он нашёл папки, содержащие подстройки «lkio», «lkip», «lkul». Они относятся к одноимённым сервисам ФНС на домене nalog.ru — lkio.nalog.ru, lkip.nalog.ru и lkul.nalog.ru.

«Для сверки, что обнаруженные исходники действительно относятся к сервисам ФНС, проведена простая проверка наличия на боевом веб-сервере файла uppod-styles.txt, который не мог там оказаться по случайному совпадению», — пишет Пискунов.

Он сделал вывод, что фактический разработчик приложения «Проверка чеков» — StudioTG. На сайте «Студия ТГ», которая занимается ИТ-консалтингом и разработкой ПО, среди проектов указан «Личный кабинет налогоплательщика» от ФНС.

Также Пискунов считает, что по вине компании, исходный код сервисов налоговой около года находится в публичном доступе. Редакция vc.ru направила запрос и ожидает комментарии от ФНС и «Студии ТГ».

165165
реклама
разместить
143 комментария

 данные пользователей о покупках — под угрозой утечкиДавайте отделять мух от котлет - открытые исходники не имеют отношения к данным. Данные ФНС не открыты. Антону Пискунову надо бы выпить таблеток и успокоиться.

48

Ага, только вот в оригинальной статье на хабре ещё было сказано, что вместе с исходниками лежал .env для прода(!), в котором были прописаны доступы к базам данных, и т.д.

Редакторы VC этот факт опустили, видимо по технической безграмотности и непониманию, что именно он - критически важный в этой новости.

Не говоря уже о несбрасываемых токенах доступа к приватной информации и об отправке sentry на не принадлежащий налоговой домен.

213

Я думаю Антон страхуется. Ну сказать что там он увидел возможность доступа к внутренним сервисам, то это сразу большие юридические риски для него.

Вообще ситуация с отправками пускай даже крашлитикса коммерческой компании не корректно. 

5
Раскрывать всегда
Невыдуманные истории, когда владельцы бизнеса решили пренебречь информационной безопасностью

Мечта собственника — сильная команда и высокая производительность. Но риски для компании мало кто осознает. Рассказываем, как предпринимателю понять мотивы сотрудников, есть ли угроза мошеннических схем, подделок документов, утечек информации и финансов.

Невыдуманные истории, когда владельцы бизнеса решили пренебречь информационной безопасностью
1212
44
22
11
11
реклама
разместить
Космический корабль Crew Dragon с российским космонавтом Кириллом Песковым пристыковался к МКС

Он должен вернуть на землю в том числе экипаж миссии Boeing Sraliner, который застрял на станции из-за неисправности своего корабля.

Фото NASA 
66
Каршеринг: опасность, о которой они не расскажут
11
Недвижка подорожала до максимума, рубль сильно укрепился. Ипотека, дивиденды, облигации, крипта и другие новости. Воскресный инвестдайджест

Всем желающим купить первичную недвижку лучше присесть. Она подорожала до максимумов, спасибо льготной ипотеке. Но есть и хорошие новости для фанатов крепкого рубля и дивидендов. Пока крипта валится вниз, замедляется рост инфляции, а эксперты гадают по поводу снижения ключевой ставки. В вашем любимом дайджесте ещё много про что, читайте!

Недвижка подорожала до максимума, рубль сильно укрепился. Ипотека, дивиденды, облигации, крипта и другие новости. Воскресный инвестдайджест
1717
33
33
11
11
Почему лендинги - это хр*нь сливающая бюджеты и как понять какой же сайт нужен компании
Почему лендинги - это хр*нь сливающая бюджеты и как понять какой же сайт нужен компании

Почему лендинги, несмотря на мифические кейсы вроде «одна страница = миллион продаж», на самом деле чаще становятся причиной потери денег, а не источником успеха и развития компании? Давайте разбираться.

44
33
31 вариант международных площадок где можно опубликовать свою статью. В одной табличке с названиями, сайтами, описаниями и посещаемостью. Делюсь с вами
31 вариант международных площадок где можно опубликовать свою статью. В одной табличке с названиями, сайтами, описаниями и посещаемостью. Делюсь с вами
1717
55
Меня выгнали с работы, и я открыла глянцевый журнал. Разборки, воровство, слёзы...

Девушка была главным редактором журнала, но нахамила любовнице босса и её уволили. Запустила свой журнал, о котором узнал весь город, но перед этим были конфликты, кражи денег и отчаяние.

Меня выгнали с работы, и я открыла глянцевый журнал. Разборки, воровство, слёзы...
1616
33
11
11
«Вам бы делать хорроры»: в Голливуде появились первые ИИ-киностудии

Издание Forbes рассказало, что за фильмы они снимают и какие инструменты используют.

1717
77
33
Наш актеры и так играют как ИИ
реклама
разместить
Делится ли имущество в "гражданском браке"?

Верховный Суд в очередной раз высказался по вопросу "гражданского брака" и приобретения имущества в период совместного проживания, без оформления брачных отношений.

Делится ли имущество в "гражданском браке"?
55
Концертный бизнес: почему срываются шоу и концерты? Роль концертного директора

За несколько часов до выхода на сцену нервы на пределе: сыпятся угрозы, звучат громкие заявления – "Концерта не будет!". А шоу должно продолжаться.

Концертный бизнес: почему срываются шоу и концерты? Роль концертного директора
1111
77
22
11
«Чем ты гордишься?»: интервью со специалистом по визуальным эффектам клипа Abracadabra Lady Gaga

Что заставляет специалиста по-настоящему гордиться своей работой?Я попросил лучших в своём деле рассказать свои истории.
Читайте коллекцию отличных историй замечательных специалистов!
Сегодня с нами Игорь Эйт — VFX Supervisor (Lady Gaga, Damiano David, Kaytranada, Korn, Little Big* и др.) с рассказом о своей работе.

Рубрика «Чем ты гордишься?» | Изображение создано в сервисе <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fgerwin.io&postId=1043253" rel="nofollow noreferrer noopener" target="_blank">Gerwin.io</a>
1111
33
[]