реклама
разместить

Пользователь «Хабра» нашёл в публичном доступе исходный код нескольких сервисов налоговой — он открыт около года

Разработчик нашёл данные после проверки приложения «Проверка чеков» — с марта в нём можно отследить все свои покупки, сделанные в интернет-сервисах.

Исходный код некоторых сервисов Федеральной налоговой службы (ФНС) уже около года находится в открытом доступе, а данные пользователей о покупках — под возможной угрозой утечки. К таким выводам пришёл пользователь «Хабра» Антон Пискунов.

Разработчик обратил внимание на приложение «Проверка чеков». Оно позволяет получать и хранить кассовые чеки в электронном виде, проверять добросовестность продавца, отправлять на него жалобы и так далее, сообщали в ФНС.

С помощью приложения пользователь может отсканировать QR-код на электронном чеке, который присылает оператор фискальных данных (ОФД) после завершения заказа в каком-либо сервисе или магазине. Например, после заказа в «Яндекс.Еде» Пискунову пришёл чек от «Яндекс ОФД».

Антон Пискунов
Антон Пискунов

После сканирования в приложении появляется электронная копия чека с полными данными о заказе. 4 марта 2021 года разработчики обновили «Проверку чеков», добавив функцию «отображение чеков из сервиса «“Мои Чеки Онлайн”».

Если пройти аутентификацию в приложении «Проверка чека», указав номер телефона, привязанный к сервисам вроде «Яндекс.Еды», «Такси», «Самоката» и другим, в разделе «Мои чеки» автоматически будут отображены все чеки по всем операциям в этих сервисах.

«Мои чеки» в приложении «Проверка чеков»
«Мои чеки» в приложении «Проверка чеков»

Пискунов решил проверить, как хорошо защищены все эти данные. Для этого он поставил в разрыв между интернетом и приложением простой прокси и, записывая сетевую активность приложения, «потыкал в кнопки».

«Выяснилось, что эндпоинт с данными находится по адресу irkkt-mobile.nalog.ru:8888, на котором живёт простейшее приложение на NodeJS с применением фреймворка Express. Механизм аутентификации пользователя пускает тебя к данным, если ты верно указал заголовок “sessionId”, значение которого представляет из себя какой-то самопальный токен, генерирующийся на стороне сервера», — добавляет Пискунов.

Если нажать кнопку «Выйти» в приложении «Проверка чеков», инвалидации токена не происходит, продолжает он. Также пользователь не может посмотреть все свои сессии или завершить их на всех устройствах. «Таким образом, даже если вы каким-то образом поняли что токен доступа был скомпрометирован, то нет никакой возможности его сбросить и тем самым гарантировать с этого момента отсутствие у предполагаемого злоумышленника доступа к вашим данным», — пишет разработчик.

Он также обратил внимание, что в случае крэша приложения оно отправляет диагностические данные в Sentry, располагающийся по адресу, не связанному, ни с ФНС, ни с ФГУП ГНИИВЦ ФНС России (разработчик «Проверка чеков» — vc.ru), а на домен sentry.studiotg.ru.

После этого он нашёл ссылки на публичные репозитории StudioTG на GitLab, которые находятся в индексе Google, по словам разработчика, более года. В репозиториях он нашёл папки, содержащие подстройки «lkio», «lkip», «lkul». Они относятся к одноимённым сервисам ФНС на домене nalog.ru — lkio.nalog.ru, lkip.nalog.ru и lkul.nalog.ru.

«Для сверки, что обнаруженные исходники действительно относятся к сервисам ФНС, проведена простая проверка наличия на боевом веб-сервере файла uppod-styles.txt, который не мог там оказаться по случайному совпадению», — пишет Пискунов.

Он сделал вывод, что фактический разработчик приложения «Проверка чеков» — StudioTG. На сайте «Студия ТГ», которая занимается ИТ-консалтингом и разработкой ПО, среди проектов указан «Личный кабинет налогоплательщика» от ФНС.

Также Пискунов считает, что по вине компании, исходный код сервисов налоговой около года находится в публичном доступе. Редакция vc.ru направила запрос и ожидает комментарии от ФНС и «Студии ТГ».

165165
реклама
разместить
143 комментария

 данные пользователей о покупках — под угрозой утечкиДавайте отделять мух от котлет - открытые исходники не имеют отношения к данным. Данные ФНС не открыты. Антону Пискунову надо бы выпить таблеток и успокоиться.

48

Ага, только вот в оригинальной статье на хабре ещё было сказано, что вместе с исходниками лежал .env для прода(!), в котором были прописаны доступы к базам данных, и т.д.

Редакторы VC этот факт опустили, видимо по технической безграмотности и непониманию, что именно он - критически важный в этой новости.

Не говоря уже о несбрасываемых токенах доступа к приватной информации и об отправке sentry на не принадлежащий налоговой домен.

213

Я думаю Антон страхуется. Ну сказать что там он увидел возможность доступа к внутренним сервисам, то это сразу большие юридические риски для него.

Вообще ситуация с отправками пускай даже крашлитикса коммерческой компании не корректно. 

5
Раскрывать всегда
Играю я для души, а так у меня бизнес есть. Собрал 16 игр для прокачки навыков предпринимателя!

В следующий раз когда жена или мамка начнёт пилит тебя, что ты опять сидишь за компом и тратишь бесценное время, то вспоминай мои пост и утверждай, что это тренажер важных навыков для предпринимателя, основателя стартапа или менеджера продукта. И если вы ожидали тут увидеть сплошные экономические симуляторы, то это не так. Они конечно тоже будут, н…

Играю я для души, а так у меня бизнес есть. Собрал 16 игр для прокачки навыков предпринимателя!
5555
1010
44
33
Нужно в нарды играть с нужными человечками города - тогда и бизнес пойдет
реклама
разместить
«А как говорить-то?» или неочевидная причина того, почему у тебя не выходит заговорить на английском

«Вот вроде всё перевожу, всё понимаю, а говорить сложно» «Постоянно совершаю ошибки во время разговора» «Чувствую дикое напряжение, когда пытаюсь говорить на английском» «Почему не выходит заговорить, хотя знаю много слов и хорошо понимаю грамматику?»

«А как говорить-то?» или неочевидная причина того, почему у тебя не выходит заговорить на английском
ЦБ понизил курс доллара почти на три рубля — до 81,5 рубля

Официальный курс евро опустился на 3,3 рубля.

33
22
22
11
“Мы убрали из Amazon 2 буквы и создали Azon” Как удалось основать крупнейший маркетплейс по посещаемости?

Начинали еще в далеком 1998 году, хотели продавать автомобильные запчасти или книги, но денег хватило только на книги. Путь был тернистым, приходилось нанимать даже осужденных

“Мы убрали из Amazon 2 буквы и создали Azon” Как удалось основать крупнейший маркетплейс по посещаемости?
44
Wildberries увеличил плату за возврат невостребованных заказов вдвое — до 200 рублей

Деньги спишутся, если пользователь не забрал товар из ПВЗ в течение 14 дней.

1515
11
Тетки, которые заказывают 100500 моделей курток и потом это все возвращают, ваш выход! Не сдерживайте себя)))
«Закрылся в туалете, а потом скрылся»: HR-стартап Rippling обвинил конкурента в шпионаже — «крота» раскрыли с помощью фейкового канала в Slack

СМИ шутят, что история тянет на сценарий шпионского триллера.

Глава Rippling Паркер Конрад. Источник фото: Getty Images
2424
1313
55
11
Заголовок этой статьи должен звучать как "Закрылся в туалете и смылся!"
Как раз и навсегда навести порядок в telegram, не пропускать важные сообщения, не отвлекаться на ерунду и сберечь кучу нервов

Рассказываю, как я веду дела в телеграме (а там, буквально, все мои дела). Особенно полезно для предпринимателей, управленцев и просто ответственных людей. Описал четкую инструкцию по настройкам и принципы поддержания порядка. Актуально тем, кто вечно пропускает сообщения или не может найти ту самую важную группу.

Как раз и навсегда навести порядок в telegram, не пропускать важные сообщения, не отвлекаться на ерунду и сберечь кучу нервов
2323
66
33
11
Занимающаяся остеклением Lumon получила 200 откликов на вакансию — кандидаты хотели передать резюме Lumon Industries из «Разделения»

Ей пришлось опубликовать объяснение, чем отличается её бизнес от вымышленного.

77
11
11
11
реклама
разместить
А был ли Autopilot: почему ролик, в котором Tesla таранит «фотообои» с пустой дорогой, критикуют в соцсетях

Замечания пользователей собрало The Verge. Издание надеялось, что их прокомментирует автор видео, но тот не ответил на запрос.

55
Я делаю масло самодельным гидравлическим прессом, получаю 100к и счастлив

Когда я начал продавать сыродавленное масло в Калининграде и столкнулся с трудностями, о которых даже не думал. У меня ощущение, что я работаю из Европы, хотя закупаюсь и продаю в России. Зарабатываю 100 тысяч в месяц и не могу нормально расширить бизнес, потому что конкурировать с другими регионами — практически нереально.

У них конструкция похожа на мясорубку или соковыжималку
3939
Более 400 представителей творческой индустрии Голливуда выступили против обучения ИИ на материалах, защищённых авторским правом

Они призвали Дональда Трампа не позволить корпорациям «эксплуатировать» авторские работы.

Источник: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Furbnexplorer.com%2Fhow-to-spend-24-hours-in-hollywood%2F&postId=1872307" rel="nofollow noreferrer noopener" target="_blank">Urban Explorer</a>
55
11
[]