Посадка на Луну
Новые MacBook и iPad Air
Восьмой запуск Starship
Электрическая Toyota за $15000
Cамая бюджетная «ламба»
Jaguar Type 00 в Париже
Как Трамп покупал Tesla

Пользователь «Хабра» нашёл в публичном доступе исходный код нескольких сервисов налоговой — он открыт около года

Разработчик нашёл данные после проверки приложения «Проверка чеков» — с марта в нём можно отследить все свои покупки, сделанные в интернет-сервисах.

Исходный код некоторых сервисов Федеральной налоговой службы (ФНС) уже около года находится в открытом доступе, а данные пользователей о покупках — под возможной угрозой утечки. К таким выводам пришёл пользователь «Хабра» Антон Пискунов.

Разработчик обратил внимание на приложение «Проверка чеков». Оно позволяет получать и хранить кассовые чеки в электронном виде, проверять добросовестность продавца, отправлять на него жалобы и так далее, сообщали в ФНС.

С помощью приложения пользователь может отсканировать QR-код на электронном чеке, который присылает оператор фискальных данных (ОФД) после завершения заказа в каком-либо сервисе или магазине. Например, после заказа в «Яндекс.Еде» Пискунову пришёл чек от «Яндекс ОФД».

Антон Пискунов
Антон Пискунов

После сканирования в приложении появляется электронная копия чека с полными данными о заказе. 4 марта 2021 года разработчики обновили «Проверку чеков», добавив функцию «отображение чеков из сервиса «“Мои Чеки Онлайн”».

Если пройти аутентификацию в приложении «Проверка чека», указав номер телефона, привязанный к сервисам вроде «Яндекс.Еды», «Такси», «Самоката» и другим, в разделе «Мои чеки» автоматически будут отображены все чеки по всем операциям в этих сервисах.

«Мои чеки» в приложении «Проверка чеков»
«Мои чеки» в приложении «Проверка чеков»

Пискунов решил проверить, как хорошо защищены все эти данные. Для этого он поставил в разрыв между интернетом и приложением простой прокси и, записывая сетевую активность приложения, «потыкал в кнопки».

«Выяснилось, что эндпоинт с данными находится по адресу irkkt-mobile.nalog.ru:8888, на котором живёт простейшее приложение на NodeJS с применением фреймворка Express. Механизм аутентификации пользователя пускает тебя к данным, если ты верно указал заголовок “sessionId”, значение которого представляет из себя какой-то самопальный токен, генерирующийся на стороне сервера», — добавляет Пискунов.

Если нажать кнопку «Выйти» в приложении «Проверка чеков», инвалидации токена не происходит, продолжает он. Также пользователь не может посмотреть все свои сессии или завершить их на всех устройствах. «Таким образом, даже если вы каким-то образом поняли что токен доступа был скомпрометирован, то нет никакой возможности его сбросить и тем самым гарантировать с этого момента отсутствие у предполагаемого злоумышленника доступа к вашим данным», — пишет разработчик.

Он также обратил внимание, что в случае крэша приложения оно отправляет диагностические данные в Sentry, располагающийся по адресу, не связанному, ни с ФНС, ни с ФГУП ГНИИВЦ ФНС России (разработчик «Проверка чеков» — vc.ru), а на домен sentry.studiotg.ru.

После этого он нашёл ссылки на публичные репозитории StudioTG на GitLab, которые находятся в индексе Google, по словам разработчика, более года. В репозиториях он нашёл папки, содержащие подстройки «lkio», «lkip», «lkul». Они относятся к одноимённым сервисам ФНС на домене nalog.ru — lkio.nalog.ru, lkip.nalog.ru и lkul.nalog.ru.

«Для сверки, что обнаруженные исходники действительно относятся к сервисам ФНС, проведена простая проверка наличия на боевом веб-сервере файла uppod-styles.txt, который не мог там оказаться по случайному совпадению», — пишет Пискунов.

Он сделал вывод, что фактический разработчик приложения «Проверка чеков» — StudioTG. На сайте «Студия ТГ», которая занимается ИТ-консалтингом и разработкой ПО, среди проектов указан «Личный кабинет налогоплательщика» от ФНС.

Также Пискунов считает, что по вине компании, исходный код сервисов налоговой около года находится в публичном доступе. Редакция vc.ru направила запрос и ожидает комментарии от ФНС и «Студии ТГ».

165165
реклама
разместить
143 комментария

 данные пользователей о покупках — под угрозой утечкиДавайте отделять мух от котлет - открытые исходники не имеют отношения к данным. Данные ФНС не открыты. Антону Пискунову надо бы выпить таблеток и успокоиться.

48

Ага, только вот в оригинальной статье на хабре ещё было сказано, что вместе с исходниками лежал .env для прода(!), в котором были прописаны доступы к базам данных, и т.д.

Редакторы VC этот факт опустили, видимо по технической безграмотности и непониманию, что именно он - критически важный в этой новости.

Не говоря уже о несбрасываемых токенах доступа к приватной информации и об отправке sentry на не принадлежащий налоговой домен.

213

Я думаю Антон страхуется. Ну сказать что там он увидел возможность доступа к внутренним сервисам, то это сразу большие юридические риски для него.

Вообще ситуация с отправками пускай даже крашлитикса коммерческой компании не корректно. 

5
Раскрывать всегда
Играю я для души, а так у меня бизнес есть. Собрал 16 игр для прокачки навыков предпринимателя!

В следующий раз когда жена или мамка начнёт пилит тебя, что ты опять сидишь за компом и тратишь бесценное время, то вспоминай мои пост и утверждай, что это тренажер важных навыков для предпринимателя, основателя стартапа или менеджера продукта. И если вы ожидали тут увидеть сплошные экономические симуляторы, то это не так. Они конечно тоже будут, н…

Играю я для души, а так у меня бизнес есть. Собрал 16 игр для прокачки навыков предпринимателя!
4242
55
22
11
Нужно в нарды играть с нужными человечками города - тогда и бизнес пойдет
реклама
разместить
Копирайтинг: лучшие методы и формулы для написания текстов
сгенерировано в Шедеврум, для разбивки текста :)
Как раз и навсегда навести порядок в telegram, не пропускать важные сообщения, не отвлекаться на ерунду и сберечь кучу нервов

Рассказываю, как я веду дела в телеграме (а там, буквально, все мои дела). Особенно полезно для предпринимателей, управленцев и просто ответственных людей. Описал четкую инструкцию по настройкам и принципы поддержания порядка. Актуально тем, кто вечно пропускает сообщения или не может найти ту самую важную группу.

Как раз и навсегда навести порядок в telegram, не пропускать важные сообщения, не отвлекаться на ерунду и сберечь кучу нервов
1717
55
33
11
Я делаю масло самодельным гидравлическим прессом, получаю 100к и счастлив

Когда я начал продавать сыродавленное масло в Калининграде и столкнулся с трудностями, о которых даже не думал. У меня ощущение, что я работаю из Европы, хотя закупаюсь и продаю в России. Зарабатываю 100 тысяч в месяц и не могу нормально расширить бизнес, потому что конкурировать с другими регионами — практически нереально.

У них конструкция похожа на мясорубку или соковыжималку
3636
Занимающаяся остеклением Lumon получила 200 откликов на вакансию — кандидаты хотели передать резюме Lumon Industries из «Разделения»

Ей пришлось опубликовать объяснение, чем отличается её бизнес от вымышленного.

66
11
Курс доллара на рынке Forex опустился ниже 82 рублей впервые с июня 2024 года

Аналитики объясняют это улучшением отношений России и США и низким спросом на доллар у российских импортёров.

88
11
11
11
Значит скоро 120
ФАС проверит наценки на продукты в «Яндекс Лавке» и «Самокате»

Антимонопольная служба изучит средневзвешенные закупочные и розничные цены.

Источник фото: Retail.ru
2222
1212
11
Когда ФАС заинтересуется ценообразованием тарифов на ЖКХ?
День 1119: «Газпром» сообщил об убытке более чем в 1 трлн рублей в 2024 году по РСБУ

Собираем новости, события и мнения о рынках, банках и реакциях компаний.

Источник фото: «Банки.ру»
2525
55
44
22
11
11
11
Отправьте смс с кодом "яхта", на номер 0777 Помогите собрать Алеше на выплату дивидендов.
реклама
разместить
Госдума поддержала в первом чтении законопроект по борьбе с телефонным и интернет-мошенничеством

Он предполагает запрет для бизнеса и госорганов на использование иностранных мессенджеров, а также маркировку звонков.

55
11
Глава РФПИ сообщил о планах обсудить с Илоном Маском проекты в космосе

Накануне он предложил Маску организовать российско-американскую экспедицию на Марс в 2029 году.

1010
77
11
11
Вроде не 1 апреля еще
Возвращение уже не столь молодого ресторатора.

Часть 1.

33
[]