{"id":10557,"title":"\u0412\u0441\u0451, \u0447\u0442\u043e \u0432\u044b \u043d\u0435 \u0437\u043d\u0430\u043b\u0438 \u043e \u043b\u043e\u0433\u0438\u043d\u0430\u0445 \u0438 \u043f\u0430\u0440\u043e\u043b\u044f\u0445","url":"\/redirect?component=advertising&id=10557&url=https:\/\/vc.ru\/promo\/341444-istoriya-loginov-i-paroley&placeBit=1&hash=94017d4f91c29251d7b976c8b7d1d213142fee516a823204c0a9aa77fdbbb464","isPaidAndBannersEnabled":false}

Пользователь «Хабра» нашёл в публичном доступе исходный код нескольких сервисов налоговой — он открыт около года Статьи редакции

Разработчик нашёл данные после проверки приложения «Проверка чеков» — с марта в нём можно отследить все свои покупки, сделанные в интернет-сервисах.

Исходный код некоторых сервисов Федеральной налоговой службы (ФНС) уже около года находится в открытом доступе, а данные пользователей о покупках — под возможной угрозой утечки. К таким выводам пришёл пользователь «Хабра» Антон Пискунов.

Разработчик обратил внимание на приложение «Проверка чеков». Оно позволяет получать и хранить кассовые чеки в электронном виде, проверять добросовестность продавца, отправлять на него жалобы и так далее, сообщали в ФНС.

С помощью приложения пользователь может отсканировать QR-код на электронном чеке, который присылает оператор фискальных данных (ОФД) после завершения заказа в каком-либо сервисе или магазине. Например, после заказа в «Яндекс.Еде» Пискунову пришёл чек от «Яндекс ОФД».

Антон Пискунов

После сканирования в приложении появляется электронная копия чека с полными данными о заказе. 4 марта 2021 года разработчики обновили «Проверку чеков», добавив функцию «отображение чеков из сервиса «“Мои Чеки Онлайн”».

Если пройти аутентификацию в приложении «Проверка чека», указав номер телефона, привязанный к сервисам вроде «Яндекс.Еды», «Такси», «Самоката» и другим, в разделе «Мои чеки» автоматически будут отображены все чеки по всем операциям в этих сервисах.

«Мои чеки» в приложении «Проверка чеков»

Пискунов решил проверить, как хорошо защищены все эти данные. Для этого он поставил в разрыв между интернетом и приложением простой прокси и, записывая сетевую активность приложения, «потыкал в кнопки».

«Выяснилось, что эндпоинт с данными находится по адресу irkkt-mobile.nalog.ru:8888, на котором живёт простейшее приложение на NodeJS с применением фреймворка Express. Механизм аутентификации пользователя пускает тебя к данным, если ты верно указал заголовок “sessionId”, значение которого представляет из себя какой-то самопальный токен, генерирующийся на стороне сервера», — добавляет Пискунов.

Если нажать кнопку «Выйти» в приложении «Проверка чеков», инвалидации токена не происходит, продолжает он. Также пользователь не может посмотреть все свои сессии или завершить их на всех устройствах. «Таким образом, даже если вы каким-то образом поняли что токен доступа был скомпрометирован, то нет никакой возможности его сбросить и тем самым гарантировать с этого момента отсутствие у предполагаемого злоумышленника доступа к вашим данным», — пишет разработчик.

Он также обратил внимание, что в случае крэша приложения оно отправляет диагностические данные в Sentry, располагающийся по адресу, не связанному, ни с ФНС, ни с ФГУП ГНИИВЦ ФНС России (разработчик «Проверка чеков» — vc.ru), а на домен sentry.studiotg.ru.

После этого он нашёл ссылки на публичные репозитории StudioTG на GitLab, которые находятся в индексе Google, по словам разработчика, более года. В репозиториях он нашёл папки, содержащие подстройки «lkio», «lkip», «lkul». Они относятся к одноимённым сервисам ФНС на домене nalog.ru — lkio.nalog.ru, lkip.nalog.ru и lkul.nalog.ru.

«Для сверки, что обнаруженные исходники действительно относятся к сервисам ФНС, проведена простая проверка наличия на боевом веб-сервере файла uppod-styles.txt, который не мог там оказаться по случайному совпадению», — пишет Пискунов.

Он сделал вывод, что фактический разработчик приложения «Проверка чеков» — StudioTG. На сайте «Студия ТГ», которая занимается ИТ-консалтингом и разработкой ПО, среди проектов указан «Личный кабинет налогоплательщика» от ФНС.

Также Пискунов считает, что по вине компании, исходный код сервисов налоговой около года находится в публичном доступе. Редакция vc.ru направила запрос и ожидает комментарии от ФНС и «Студии ТГ».

0
159 комментариев
Популярные
По порядку
Написать комментарий...
Вася Пражкин

 данные пользователей о покупках — под угрозой утечки
Давайте отделять мух от котлет - открытые исходники не имеют отношения к данным. Данные ФНС не открыты. Антону Пискунову надо бы выпить таблеток и успокоиться.

Ответить
19
Развернуть ветку
Vasiliy Gorin

Ага, только вот в оригинальной статье на хабре ещё было сказано, что вместе с исходниками лежал .env для прода(!), в котором были прописаны доступы к базам данных, и т.д.

Редакторы VC этот факт опустили, видимо по технической безграмотности и непониманию, что именно он - критически важный в этой новости.

Не говоря уже о несбрасываемых токенах доступа к приватной информации и об отправке sentry на не принадлежащий налоговой домен.

Ответить
213
Развернуть ветку
Вася Пражкин

.env для прода в той же репе - это, конечно, косяк, но вот видите, написали статью и его пофиксят. Несбрасываемых токенах - ну тоже косяк, тоже пофиксят. Код для налогой же не ангелы на небесах пишут, у всех есть баги, в том числе в security.

Ответить
–77
Развернуть ветку
greg chudnoff

Ну косяк. Ну еще косяк. Ну еще с десяток косяков. Подумаешь.
Очнитесь, молодой человек, это не домашний стартапчик студента, это налоговая! Таких косяков не должно быть в принципе, по определению, а за их появление нужно немедленно карать по всей строгости УК.

Ответить
123
Развернуть ветку
Вася Пражкин

 немедленно карать по всей строгости УК
Может сразу расстреливать?

Ответить
–17
Развернуть ветку
Стартапер-пессимист

Вася, почему Роскомнадзор возбуждается и блокирует домен когда на сайте сбора подписей Навального стоит гугл аналитика (но при этом люди сами передают данные).

И почему не возбуждается когда данные из чеков и личные ПД физлиц уже были слиты с госсайтов и приложений вроде этого? Я тебе отвечу: потому как коррупция и двойные стандарты.

Теперь вопрос: ты защищаешь коррупционеров потому что в доле?

Ответить
43
Развернуть ветку
Mika

А вы разве не в доле? Мы тут все уже, как 4 года каждый квартал выплаты получаем. 

Ответить
–18
Развернуть ветку
greg chudnoff

Если это будет прописано в УК. Впрочем, необязательно. Можно на бутылку посадить, забить до смерти в участке, повесить на простыне в камере и т.п. У наших полицейских богатый опыт и очень разнообразный инструментарий.

Ответить
27
Развернуть ветку
Юрий Другач

вы упустили тезис человека, что идеального кода не существует

Ответить
–8
Развернуть ветку
greg chudnoff

Если вы с бодуна, батенька - осознайте, что речь не о неидеальном коде, а о сливе кодовой базы в открытые источники.

Ответить
10
Развернуть ветку
Denis Kiselev

Не вижу ничего крамольного в «сливе кодовой базы в открытые источники», если эта кодовая база создавалась за общественные средства.

Это не просто - не страшно, я бы даже такую практику сделал обязательной.

Но вот остальные косяки - типа .env в открытом доступе и некие проблемы с безопасностью - конечно фиксить надо. Как раз тут бы помогли исходники - открытый код можно проще критиковать и содержательнее.

Ответить
–1
Развернуть ветку
Dmitriy Zhidkov

Может вы хотели сказать идеальней кода - "Hello World!"

Ответить
1
Развернуть ветку
Александр Антипов

Главное, что бы ваши косяки играли роль для определенного круга не косяную. Вот успех, или залог, успеха!

Ответить
–2
Развернуть ветку
Slava Itprofi

В общем то, неумение прописывать gitignore (либо осознанное разгильдяйство), сразу как бы намекает, что делали студенты на коленке, я не говорю уж о QA. Имея такие сведения, можно по тихому хорошо так поэкспериментировать, постучаться по базам, не удивлюсь, если там условный pg_hba.conf торчит во вне)

Ответить
21
Развернуть ветку
Артём Лисин

Тут в самый раз на коррупционность проверять. Скорее всего на проект выделили в среднем по рынку, а по факту платят остатки. За остатки и идут работать студенты либо низкоквалифицированые. Как это в целом знакомо, по тендерам на строительстве. Поотщипывают с ассигнаций, а потом нанимают специалистов за пять копеек

Ответить
7
Развернуть ветку
Альберт Инк

Видел на Госзакупках уже закрытый тендер "разработка сайта для губернатора какого-то там края" - 1,5 млн.  Если память не изменяет речь шла о Перми.
Нормально бабло стригут.

Ответить
0
Развернуть ветку
Артём Лисин

Да

Ответить
0
Развернуть ветку
Ivan Pogoreloff

Но автор нигде не написал, что эти данные из .env хоть для чего-то пригодны.

судя по всему прямиком с боевых серверов

А может и не с боевых... Более того, там вполне могут быть адреса серверов доступных исключительно из интранета и бесполезные для внешнего наблюдателя.

Ответить
4
Развернуть ветку
Max Krou

Фигасе бесполезных, получение информации о расположении внутренних узлов нифигово так упрощает атаку на сервисы

Ответить
9
Развернуть ветку
Миша Шарапов

>  .env для прода(!), в котором были прописаны доступы к базам данных, и т.д.
то есть автор мог получить доступ к базам данных, не так ли? или не мог, т.к. прод был изолирован?

Ответить
1
Развернуть ветку
Вася Пражкин

Ну обычно backend сервера все же надежно прикрыты файрволами снаружи. Так что толку от этих credentials стороннему человеку немного.

Ответить
–5
Развернуть ветку
Vasiliy Gorin

Ну "обычно" и .env в проде не используют. И тем более не выкладывают его в паблик. Но мы ведь наблюдаем необычный кейс, не так ли? :)

Ответить
15
Развернуть ветку
Вася Пражкин

Надо признать, что нет достоверной информации, что именно этот код работает в ФНС без каких-либо изменений. .env вполне может содержать данные разработчика или неизвестного тестового сервера. Антон Пискунов тут недоработал, оставляем ему на вторую часть расследования :).

Ответить
–3
Развернуть ветку
Vasiliy Gorin

.env вполне может содержать данные разработчика или неизвестного тестового сервера.
Увы, на скриншоте, который выложил автор статьи, видно, что URL в этом .env вполне боевые. Адреса сервисов налоговой в публичном домене nalog.ru. А переменные указывающие на среду установлены следующим образом: APP_ENV=prod, APP_DEBUG=false

¯\_(ツ)_/¯

Ответить
3
Развернуть ветку
Вася Пражкин

Вопрос не про URL, а про credentials. Вы проверили, что они от боевых серверов ФНС?

Ответить
–3
Развернуть ветку
Vasiliy Gorin

Началась демагогия. Не понимаю, зачем вы защищаете ФНС в её очевидном факапе и всех фактах, указывающих на связь этого репозитория с продакшеном.

Credentials не были обнародованы по очевидным причинам.

Преуменьшение факапа ФНС также критически опасно для всех нас - людей, чьи крайне чувствительные данные ФНС хранит и обрабатывает. Не надо так.

Ответить
27
Развернуть ветку
Max Krou

Это тот самый студент, что делал эту поделку для налоговой

Ответить
6
Развернуть ветку
Вася Пражкин

Я не защищаю ФНС, мне вообще до них фиолетово. Но подобные .env файлы довольно часто коммитятся практически во всех компаниях и вреда никакого не несут, если credentials от внутренних серверов. После обнародования credentials поменяют и проблема решена.

Но даже если мой или Ваш чек кто-то посмотрит - в чем проблема-то?

Ответить
–9
Развернуть ветку
John Doe

 подобные .env файлы довольно часто коммитятся практически во всех компаниях и вреда никакого не несут

нет, не коммитятся.  .env файлы и существуют для того, что бы держать приватные данные  по серверу отдельно от репо. И должны быть сразу в gitignore. Так что не нужно заниматся тут демогогией. 
Я вам больше скажу - там явно github им не раз и не два говорил о том, что у них приватные данные в репо (они постоянно делают автоматические сканы). Но похоже разработчики еще те раздолбаи. 

Ответить
11
Развернуть ветку
Дмитрий Тенетович

".env файлы и существуют для того, что бы держать приватные данные по серверу отдельно от репо"
плюсплюс. очевидные вещи очевидны.

Ответить
0
Развернуть ветку
Алекс Вебдизайнов

Дайте мне эту БД и я буду предсказателем ваших желаний. Это гораздо круче, чем пичкать вас куками, видеть гео и поисковые запросы.

Ответить
0
Развернуть ветку
greg chudnoff

  Но мы ведь наблюдаем необычный кейс, не так ли? :)
К сожалению, уже вполне обычный кейс.

Ответить
0
Развернуть ветку
Igor Filippov

 необычный кейс

Может еще про Equifax не слышал? Любые данные на серверах рано или поздно утекают/крадутся.

Ответить
–4
Развернуть ветку
Vasiliy Gorin

Вряд ли мы об этом когда-нибудь узнаем, т.к. правду об этом факте автору говорить небезопасно.

Ответить
0
Развернуть ветку
Sergei Timofeyev

Зависит от того, кто по ту сторону работает. При правильном подходе - с левого IP вы не получите доступ, либо не будете иметь прав на чтение или бэкап.

Ответить
0
Развернуть ветку
Антон Пискунов

С языка сняли, Василий 😜

Ответить
0
Развернуть ветку
Yan Purvenes

Я думаю Антон страхуется. Ну сказать что там он увидел возможность доступа к внутренним сервисам, то это сразу большие юридические риски для него.

Вообще ситуация с отправками пускай даже крашлитикса коммерческой компании не корректно. 

Ответить
5
Развернуть ветку
Вася Пражкин

 ситуация с отправками пускай даже крашлитикса коммерческой компании не корректно
В чем некорректно? На Западе, если Вам интересно, коммерческие компании имеют доступ и к сов. секретной информации.

Ответить
–7
Развернуть ветку
greg chudnoff

Ой ну хватит нам приводить Запад в пример как непогрешимый эталон! Даже без указания конкретных стран, просто влажные фантазии латентного эмигранта.

Ответить
12
Развернуть ветку
Andrey Zaynulin

Ты офигел единственный аргумент у ваты забирать?

Ответить
3
Развернуть ветку
Alexander B

Сказано красиво, но нигде в статье не говорится о том, что эти факты как-то связаны. Это два независимых вывода. Так что иногда, прежде чем оскорблять человека, стоит всё же прочитать статью дальше первых двух предложений

Ответить
0
Развернуть ветку
Вася Пражкин

Прочитал даже на Хабре оригинал. Нигде нет фактов, что данные ФНС куда-то утекли и это лишь предположение автора-параноика:
 Исходя из общей картины, предположу, что данные о ваших покупках попадающие в ОФД путём информационного обмена фискальными данными с ФНС, на текущий момент, находятся под угрозой утечки
"Исходя из общей картины" - это слабый аргумент, как мне кажется.

Ответить
6
Развернуть ветку
Alexander B

Что ж, пожалуй, сниму минус с вашего первого комментария, поставил его, не подумав.

Я согласен с тем, что факт открытости исходников никак не говорит об утечке данных. Но вот чтение этих самых исходников... Вызывает желание разделить паранойю автора

Ответить
1
Развернуть ветку
Вася Пражкин

Если откинуть паранойю, то в чем проблема, что код ФНС в открытом доступе? ФНС заплатила наши с Вами деньги за этот код, мы получили доступ к нему, разве это плохо? Мне кажется, это хорошая идея - открывать код под свободной лицензией, раз он создан за народные деньги.

Ответить
5
Развернуть ветку
Victoria D

Господа супер айтишники! А можете разобраться кто сливает данные когда идет регистрация ИП? Налоговая, банки или офд?
В общем подаешь через банк на регистрацию. Тут тебе начинают обрывать телефон разные банки, называя твое фио, и предлагать счета. При этом ты еще даже не в курсе что ты зарегистрирован и стал ИП.
Это прям проблема народа.. Все ж честные, дают свой телефон. А идет какой-то конкретный слив. И причем не понятно кто телефоны сливает.
Можете провести расследование?

Ответить
0
Развернуть ветку
eyyujg fyhfdg

по исходникам можно найти проблемы в безопасности

Ответить
0
Развернуть ветку
Борис Моренко

Надо ребят из GPL срочно предупредить

Ответить
8
Развернуть ветку
eyyujg fyhfdg

не волнуйтесь, я уже предупредил!

Ответить
3
Развернуть ветку
Светлана Завацкая

Вы думаете это поможет? Вот объясните свой комментарий?

Ответить
0
Развернуть ветку
Ренат Зайдуллин

Походу это был сарказм))

Ответить
1
Развернуть ветку
Светлана Завацкая

Я в данном комментарии  сарказма не увидела. Вот решила переспросить.

Ответить
0
Развернуть ветку
Gre Li

Что там видеть? GPL изначально про то, чтобы предоставлять исходные коды. Это исходит из их философии.

Ответить
0
Развернуть ветку
Светлана Завацкая

Спасибо вам за подробный комментарий. Приятно когда объясняют, а не шутят и так далее.

Ответить
0
Развернуть ветку
Борис Моренко

В разы большей "дыркой в безопасности" являются люди и инфраструктура. Имеется большой объем софта исходники которого доступны. 

Ответить
0
Развернуть ветку
Светлана Завацкая

Так они всегда при желании были доступны. Ну несмотря, на определенные года и правления.

Ответить
0
Развернуть ветку
Борис Моренко

Лицензию могут менять. Часть софта имеют несколько лицензий (одну коммерческую, другую свободную). И открытую зачастую используют что бы протестировать новые фичи и ревьюрить код на безопасность.

Ответить
0
Развернуть ветку
Светлана Завацкая

Спасибо вам за развернутый ответ. Вот этого я и ждал для полного понимания.

Ответить
0
Развернуть ветку
Государственный инструмент

Ну справедливости ради часто в проектах с открытыми исходниками участвует гораздо больше людей, чем полтора студента -) 

Ответить
0
Развернуть ветку
Борис Моренко

Тут не поспоришь. Переход в статус "свободного по" был незаполненным)

Ответить
0
Развернуть ветку
Artem Petrenkov

Security through obscurity — так себе стратегия.

Ответить
2
Развернуть ветку
Вася Пражкин

А можно и не найти.

Ответить
1
Развернуть ветку
Илья Плотников

Без исходников тоже можно

Ответить
1
Развернуть ветку
Государственный инструмент

Имея исходные коды проще найти уязвимости и вытащить эти самые данные

Ответить
1
Развернуть ветку
Andrei Kirillov

)))))

Ответить
0
Развернуть ветку
Artemy

Ну, какая-то логика в том, чтобы госразработки в опен-сорс передавать, есть.

Ответить
30
Развернуть ветку
Евгений Трифонов

Ну, если бы это было официально и с bug bounty, можно было бы только порадоваться, согласен.

Но если исходники торчат в интернет по какой-то случайности, так что разработчики могут этого не осознавать (и, например, в комментариях писать любую внутреннюю информацию) — ну такое.

Ответить
17
Развернуть ветку
Victor Raine

Да, что же вы все палите.

Нормальные же были репозитарии, использовали бы и использовали недокументированные возможности, сейчас опять ждать годами пока Налоговая напишет документацию по своему АПИ.

Ответить
28
Развернуть ветку
Виктория Усмаркина

Вообще ничего удивительного, хабра что-то нашел. Вы на этом форуме были? там же большая часть пользователей говорят на непонятном языке))))ахаа)

Ответить
–69
Развернуть ветку
borodutch

С регистрацией! Отличный второй комментарий!

Ответить
30
Развернуть ветку
Виктория Усмаркина

Мне приятно ваше внимание)) Вы так за всеми следите тщательно или только за девушками?
А вообще, да, всякое бывает: и опечатки, и слово можно упустить, у вас тут за такое на костре сжигают что ли?

Ответить
–20
Развернуть ветку
Сергей Щукин

Тут вообще люто, Виктория.. лучше разрегистрируйтесь, и живите счастливо 😬😆😉

А если серьёзно - коммент ваш не очень - тут большинство людей понимают о чём люди на Хабре пишут. Поэтому вы ворвались сразу в образе кого-то с фишкинет или около того..

Не печальтесь - всё есть суета сует и всякая суета..

Ответить
21
Развернуть ветку
Семен Смирнов

тут большинство людей понимают о чём люди на Хабре пишут

Сильное заявление

Ответить
8
Развернуть ветку
Sergey K

Я вот вообще не понимаю, но мне очень интересно  - Пискунова посадят или поблагодарят в итоге

Ответить
4
Развернуть ветку
Антон Пискунов

Пока — ни то, ни другое.

Ответить
1
Развернуть ветку
Sergey K

Я в любом случае за option 2.

Ответить
0
Развернуть ветку
Сергей Юн

А что тут сильного, некоторые туда даже и пишут. 

Ответить
1
Развернуть ветку
Виктория Усмаркина

😒

Ответить
0
Развернуть ветку
borodutch

Только за красивыми и накачанными мужчинами! Вас случайно заметил.

Ответить
9
Развернуть ветку
Виктория Усмаркина

😅 случайности неслучайны

Ответить
6
Развернуть ветку
borodutch

Намекаете на то, что вы — красивый и накачанный мужчина?

Ответить
8
Развернуть ветку
Виктория Усмаркина

Упаси Боже! Намекаю, что вы слишком придирчивы к новичкам)

Ответить
10
Развернуть ветку
Gre Li

Ну, как бы это хорошая практика, когда ПО, создаваемое на деньги налогоплательщиков — открытое. Собственно, лицензия BSD именно так и появилась.

Ответить
12
Развернуть ветку
Народный мангал

Комментарий удален по просьбе пользователя

Ответить
8
Развернуть ветку
Igor Filippov

А коммерческие компании не теряют данные? 

Ответить
4
Развернуть ветку
Народный мангал

Комментарий удален по просьбе пользователя

Ответить
8
Развернуть ветку
Борис Моренко

env файлы приравнять к чертежам ракет - это сильно. 

Ответить
2
Развернуть ветку
Илья Меджидов

Окей, не чертежи ракет, а адрес банковской ячейки где лежат чертежи, с паролем и подписанной доверенностью без указания имени :)

Ответить
1
Развернуть ветку
Борис Моренко

Вот с номером банковской ячейки - это уже корректней сравнение. Но для того что бы забрать содержимое ячейки, вы должны как-то оказаться в хранилище)
Для того что бы воспользоваться паролем от базы вам надо получить доступ до сервера.

Ответить
0
Развернуть ветку
Георгий Козырев

Сейчас бы сравнивать чертежи баллистических ракет с каким-то достаточно простым софтом, который может спроектировать и написать любой неплохой кодер. Тем более что в этом сервисе самое ценное это интеграция со сторонними сервисами)
Факап ли это? Да, факап. Переменные поменяют, репозиторий закроют, делов-то)
Зря вы так распереживались)

Ответить
1
Развернуть ветку
Ренат Зайдуллин

Исходник так-то выложила как раз таки коммерческая компания.

Ответить
2
Развернуть ветку
Государственный инструмент

За год открытого доступа могли сотни раз выгрузить все.

Ответить
1
Развернуть ветку
Народный мангал

Комментарий удален по просьбе пользователя

Ответить
0
Развернуть ветку
Evgeniy

Судя по тому, что они даже свой сайт сверстать нормально не могут, смею предположить, что багов в исходниках хоть отбавляй. И анализ их может привести к печальным последствиям. 

Ответить
7
Развернуть ветку
Oleg Voskoboev

Сайт есть? Есть.
Цели добились. Результатом, прости господи, гордятся...

Ответить
0
Развернуть ветку
Канищев Максим

Не удивлюсь если все данные налоговой  снифуются и отсылаются сразу в США.

Ответить
3
Развернуть ветку
евгений аношин

А нафига они в США?

Ответить
6
Развернуть ветку
Вася Пражкин

Чтобы знать, что покупают эти непредсказумые русские..

Ответить
4
Развернуть ветку
евгений аношин

О да)) спать не могут пока кассы не закроют в России

Ответить
9
Развернуть ветку
Ivan Pogoreloff

Ну что вы. Это же США. Разница во времени, все дела. Наоборот, просыпаются и сразу бегут глядеть, что там напродавали за день в Омске.

Ответить
5
Развернуть ветку
Ilnur Adylov

У нас на работе бухгалтерá говорят:
«вот я сидела до 4 утра, чтобы отправить отчёт в налоговую, а то у них сайт нагружен днём»
и для них это нормально:)

Ответить
0
Развернуть ветку
Вася Пражкин

 вот я сидела до 4 утра, чтобы отправить отчёт в налоговую
Меня терзают смутные сомненья..

Ответить
9
Развернуть ветку
Ivan Pogoreloff

Я только не понял, а в чем опасность этой информации? Ну, кроме того, что, возможно, в коде есть какие-то баги, способные обеспечить доступ к серверам. Но автор не говорит ни о чем таком, т.е. заявление в общем-то из разряда "могут, а могут и не быть". Причём он же пишет, что сервер представляет собой "простейшее приложение на NodeJS с применением фреймворка Express", т.е. база кола не так уж велика и шанс обнаружения критических багов минимален.

Дальше, лично мне интересен момент с "простым перехватом" обмена между приложением и серверами. Серьёзно? Я, конечно, невысокого мнения о работниках госорганов, но уж HTTPS организовать по пошаговым руководствам они смогут. Наверное. А это значит, что для перехвата пользователь должен установить "левые" корневые сертификаты, что делается не в один клик.

Да, бесспорно, тут налицо халатность подрядчика и недоработки в самом приложении, вроде собственного механизма сессий и отсутствия certificate pinning (хотя и он обходится, что уж), но я не вижу, как компрометируются пользовательские данные.

Ответить
2
Развернуть ветку
Государственный инструмент

Человек имел в виду то, что сделал man in the middle для реверс-инжиниринга, это к перехвату данных других пользователей относится только косвенно

Ответить
0
Развернуть ветку
Дарья Смолякова

Базюки с вашими чеками (по сервисам) продаются. А так ничего страшного. 

Ответить
–1
Развернуть ветку
Sergei Timofeyev

Причём сам ОФД не имеет доступа к тому, что вы купили. Только ИНН, категория товара, сумма покупки, дата, оплата 

Ответить
0
Развернуть ветку
Дмитрий Тенетович

С 1 фераля, вроде как, всех уже окончательно обязали печатать в чеках и передавать в ОФД номенклатуру товара. Или вы о чем-то другом?

Ответить
0
Развернуть ветку
Sergei Timofeyev

Спасибо. Не знал.

Ответить
0
Развернуть ветку
Ivan Pogoreloff

Следуя вашей логике, если я не пользуюсь этим приложением, мои чеки в "базюках" не будут светиться?

Ответить
0
Развернуть ветку
Sergei Timofeyev

Могу сказать, что это показатель серьёзности компания-разработчика, которая держит свой код на сторонних сервисах и ещё в открытом виде. У нас был период, когда в Gitlab некоторым ведущим программистам дали админский доступ. Хапнуть не хапнули, но вот лещей пришлось раздавать. Они создавали Public репозитории, куда сливали свой код.

Ответить
1
Развернуть ветку
Ivan Pogoreloff

Иногда стоит прочитать статью оригинал, а не пересказ редакции ЦП. У них self-hosted версия гитлаба. На своем же домене. И Sentry тоже свой. О каких "ведущих программистах" и "сторонних сервисах" ведём разговор?

https://gitlab.studiotg.ru/

Ответить
2
Развернуть ветку
Sergei Timofeyev

Я про свой случай говорю. Но вообще public реп быть не должно в коммерческой разработке.

Ответить
0
Развернуть ветку
Ольга Маньшина

На днях после оплаты одной из услуг ЖКХ решила вернуться назад (внести показания счетчика). Но в этот раз вместо возврата на предыдущую страницу мне показали программный код. 

Ответить
0
Развернуть ветку
Constantine Geist

Обычно так бывает, когда разработчики отлаживают сайт - ошибки выполнения сразу выдаются на странице, что может быть удобно. Но считается хорошим тоном в финальной версии сайта такое отключать, чтобы лишний раз не светить внутрянкой. Звучит тоже как халатность/некомпетентность/пофигизм.

Ответить
3
Развернуть ветку
Дмитрий Тенетович

Эмм, для этого есть разделение на development, testing, staging, production.

Впрочем, некоторые известные движки (особенно в этой стране) грешат тем, что провоцируют разрабов выгружать все "через ftp" и тестить сразу на боевом проде. Это печально.

Ответить
0
Развернуть ветку
Constantine Geist

Эмм, для этого есть разделение на development, testing, staging, production.

Это разработка здорового человека. Сам не раз видел неотключенные стектрейсы на боевых сайтах - как на пхп, так и на asp.net, которые просто выплевываются пользователю как есть.

Ответить
1
Развернуть ветку
Ольга Маньшина

Программист поменялся на проекте ). Прежний работал аккуратно.

Ответить
0
Развернуть ветку
Борис Моренко

Ужас. Кто-то забыл отладочный режим выключить на эксепшене. Ждём статью на Хабре)

Ответить
3
Развернуть ветку
Ольга Маньшина

"Работает - не трогай!" Кто-то  не учёл предсказуемое желание пользователя вернуться в ЛК после совершения действия. Предсказать несложно, т.к. целевых действий 2, их  последовательность не установлена, а оплата не в отдельной вкладке. 

Ответить
0
Развернуть ветку
Борис Моренко

Вам скорее всего вывелся стек вызова. Это конечно не есть хорошо, но не смертельно. Да и дело скорее не в программисте, а в девопсе который  конфиге оставил в отладочном режиме.

Ответить
0
Развернуть ветку
Ольга Маньшина

+

Ответить
0
Развернуть ветку
Дмитрий Тенетович

Это такая вариация эксгибиционизма )

Ответить
1
Развернуть ветку
Denis Kiselev

Если говорить о коде, который пишется за Государственное финансирование - я бы ОБЯЗАЛ передавать его в open source и публиковал бы его в обязательном порядке на GitHub (или «отечественном аналоге», если такое сделают).

Это очень правильно и разумно. Позволяет добиваться много общественно значимых вещей: можно проще дорабатывать, легче сделать общественную оценку, энтузиасты могут баги находить и так далее.

Безопасности через закрытость не бывает.

Ответить
1
Развернуть ветку
Дмитрий Корнеев

Найти дырку у налоговой, все равно что в Африке без контрацептива экспериментировать ....

Ответить
0
Развернуть ветку
Сергей Щукин

За это у нас в стране убивают?/из-за этого у нас в стране умирают люди?

Ответить
0
Развернуть ветку
greg chudnoff

— Вы их когда-нибудь видели?
— Я видел только мертвых, — сказал Вепрь. — Их иногда ловят в лесу, а потом вешают перед бараками для поднятия духа.
— А за что?
— За шею! — рявкнул Зеф. — Дурак! Это зверье! Они неизлечимы, и они опаснее любого зверя! 

Ответить
0
Развернуть ветку
Дмитрий Тенетович

Ну, справедливости ради, у ФНС более-менее неплохо все в плане доступности и работоспособности сервисов (сужу как физлицо). Есть с чем сравнивать, увы.

Ответить
0
Развернуть ветку
Vitaliy Sitnikov

-

Ответить
0
Развернуть ветку
Alex

The дырявое IT России. ничего нового

Ответить
0
Развернуть ветку
Андрей Чураев

Антону, видимо, пора быть повнимательнее. Судя по описанию он провёл полноценный пин-тест, и обнаружение проблемы было не случайным, что по сути можно законодательно прировнять к хакерской атаке.

Ответить
0
Развернуть ветку
Дмитрий Тенетович

Недооцененный коммент. Такое вполне может иметь место быть, к сожалению.

Ответить
0
Развернуть ветку
Gabby BenDer

😂

Ответить
0
Развернуть ветку
Игорь Соколовский

Вот именно, что под возможной угрозой утечки, а не под угрозой возможной утечки)

Ответить
0
Развернуть ветку
Антон Пискунов

Возможно, что крайне вероятно, более негативное и нежелаемое, чем ожидаемое, в случае отсутствия позитивных изменений, при определенных условиях и в текущей, крайне непрогнозируемой, обстановке, может произойти с большей долей вероятности.

Теперь, норм?

Ответить
0
Развернуть ветку
Игорь Соколовский

Вам бы курсовые писать)

Ответить
0
Развернуть ветку
El'murza Alchakov

Никогда такого не было и вот опять

Ответить
0
Развернуть ветку
fanatikvocie

Такие статьи с разоблачениями публикуются только после того, как их уберут из общего доступа и пофиксят критические баги. Иначе может такая ответочка прилететь, сто мало не покажется. 

Ответить
0
Развернуть ветку
Антон Пискунов

Да, ответственная за инцидент организация была заранее уведомлена о компрометации их информационных систем, а статья была опубликована лишь после получения подтверждения об устранении проблем. 

Ответить
0
Развернуть ветку
fanatikvocie

Я это знаю, примерно через подобное проходил

Ответить
0
Развернуть ветку
Сергей Икрин

Похоже, что у Студии ТГ будут проблемы

Ответить
0
Развернуть ветку
Valeryi Ozarnichuk

 Пискунов решил проверить, как хорошо защищены все эти данные. Для этого он поставил в разрыв между интернетом и приложением простой прокси и, записывая сетевую активность приложения, «потыкал в кнопки».

На этом можно было закончить, по сути. Трафик должен шифроваться прибитыми к приложению сертификатами, чтобы MTM не получилось использовать.

Ответить
0
Развернуть ветку
Илья Зернин

Добавляешь в доверенные корневые центры сертификации свой центр сертификации и получаешь возможность переподписывать данные, весь зашифрованный трафик будет виден.

Ответить
0
Развернуть ветку
Valeryi Ozarnichuk

Не будет же.
Приложение и сервер используют ключи, которые есть только у них двоих и жетско прибиты к приложению. Вы не расшифруете трафик, а приложение не будет подключаться к чужим серверам.

Ответить
0
Развернуть ветку
Илья Зернин

А как по-вашему работает fiddler, например? Или http analyzer? Все они прекрасно расшифровывают данные, защищенные TLS шифрованием. Шифрование не защищает от атаки man in the middle. Для этого и придумали механизм цифровых подписей.

Ответить
0
Развернуть ветку
Valeryi Ozarnichuk

Они устанавливают свой доверенный сертификат.

С нормальными приложениями это не сработает, т.к. приложение должно шифровать трафик собственными ключами, которые есть только у него и у конечного сервера. У вас не получится вклиниться в эту цепочку, т.к. приложение не будет доверять вашему промежуточному fiddler`у или чему-то еще.

UPD: ну вот, например: https://ru.stackoverflow.com/questions/617785/Почему-fiddler-перекрывает-доступ-к-сайтам-по-https

Если вы заставите приложение верить только одному сертификату, все эти фидлеры идут лесом. В этом как раз суть SSL

Ответить
0
Развернуть ветку
Илья Зернин

Долго объяснять, как это всё работает, но вот. Девственно чистый браузер firefox, весь https траффик виден

Ответить
0
Развернуть ветку
Valeryi Ozarnichuk

Эм, ну да. Потому что браузер доверяет всем доверенным сертификатам. Почитайте выше о чем я писал.
Если проще: Фидлер это МТМ по сути. HTTPS создан чтобы защититься от этой атаки. Конец. 

Ответить
0
Развернуть ветку
Илья Зернин

Да читал я вашу писанину. Вы не понимаете, как работает протокол TLS. Вы путаете шифрование данных и аутентификацию сторон. Это разные вещи.

Ответить
0
Развернуть ветку
Valeryi Ozarnichuk

Ну да, не совсем правильно выразился. Но по сути шифрование http трафика без сертификатов не существует. HTTPS, центры сертификации и все это - вы меня прекрасно поняли.

Заставьте приложение доверять только одному CA и не будут трафик слушать. Не смогут.

Ответить
0
Развернуть ветку
Илья Зернин

Приложения обычно используют готовые библиотеки для работы с сетью, которые в свою очередь используют системные корневые центры сертификации. Такие центры сертификации как правило предустановлены.

Прокси может успешно работать только в том случае, если на устройстве клиента установлен необходимый корневой центр сертификации - тот, с помощью которого прокси будет подписывать сертификаты.

Если злоумышленник может установить необходимый корневой центр сертификации на устройство, то это уже хозяин устройства либо хакер, получивший полный контроль над устройством, и делать от него защиту бесполезно.

Можно и собственную библиотеку написать, и собственный протокол шифрования сделать, но зачем это нужно, если у приложения были другие, более серьезные проблемы с безопасностью, которые описаны в статье?

Ответить
0
Развернуть ветку
Valeryi Ozarnichuk

У меня в первом сообщении написано "Трафик должен шифроваться прибитыми к приложению сертификатами".

В этом случае вы можете хоть 10 корневых сертификатов поставить на устройство, приложение к ним даже обращаться не будет.

Я не писал про другие проблемы, я писал про эту одну.

Ответить
0
Развернуть ветку
Илья Зернин

Я вам и объяснил, что это лишнее

Ответить
0
Развернуть ветку
Антон Пискунов

Статью не читай — комментарий пиши 👌

Ответить
0
Развернуть ветку
Valeryi Ozarnichuk

Добро пожаловать в интернет)

Ответить
0
Развернуть ветку
Антон Пискунов

И вас с подключением, сударь :)

Ответить
0
Развернуть ветку
Денис Кравцов

Как-то поленились разрабы

Ответить
0
Развернуть ветку
Дмитрий Королев

Интересно узнать какая сумма контракта была у этих ребят. Судя по rusprofile у них с ФНС около 50 мультов контракты. 

Ответить
0
Развернуть ветку
Борис Садовский

Решетоооо....

Ответить
0
Развернуть ветку
Michael Wylsakom

настоящий классик

Ответить
–1
Развернуть ветку
Илья Владимиров

Это п**дец

Ответить
–2
Развернуть ветку
Читать все 159 комментариев
Образование, путешествия и благотворительность: на что тратились россияне в новогодние каникулы

Новогодние праздники — один из самых расточительных периодов года. Аналитики CloudPayments выяснили, какие категории товаров были самыми популярными в онлайне с 31 декабря по 9 января.

Что нового в онлайн-торговле в России

В этом году в правилах ведения онлайн-торговли появились некоторые существенные изменения. Если вы ведете бизнес онлайн, посмотрите краткий обзор нововведений от генерального директора PayBox.money в России Никиты Видякина.

Digital Horizon вложился в поставщика инфраструктуры для инвестиционных решений WealthKernel в раунде A+ на $ 7 млн

Привлеченные средства компания использует для выхода на европейские рынки, запуск внутридневной торговли и дальнейшее развитие API-инфраструктуры.

Команда WealthKernel
Сектор нефти и газа. Как оценить «топливные» бумаги
Почему нам пришлось создать «ещё один» текстовый редактор

По многолетнему опыту работы со СМИ мы знаем, что удобство и функциональность важны не только для пользователей публичной части сайта, но и для тех, кто создаёт контент. Основу админки составляет текстовый редактор. Он должен быть WYSIWYG (хотя других сейчас не бывает), позволять легко реализовать любое необходимое оформление и при этом работать…

Так выглядит окно редактора в Editorica.
«За пять дней накопил на отпуск»: сколько зарабатывают таксисты в новогодние праздники Статьи редакции

Поделились водители тарифов «Эконом», «Комфорт» и «Бизнес» из Кирова, Санкт-Петербурга и Москвы.

Промежуточный доход за 31 декабря. Коэффициенты — 1,2-1,8, повышенный спрос в третьем транспортном кольце Москвы. Источник: YouTube-канал «Таксуем с нами» 
«Ъ»: Минцифры запланировало ограничить онлайн-получение части госуслуг для россиян, не сдавших биометрию Статьи редакции

Образцы лица и голоса должны загрузить на сайт из государственной базы до 2022 года.

Заявление в суд. Продолжение истории с ООО "Интернет Решения" (Озон). Часть 3

Всем привет) С Новым Годом и Рождеством, с Новым Счастьем, с Крещением)