14 июля 2025

eur = 91.12 -0.38 (-0.41 %)

btc = 122 253.00$ 4 344.75 (3.68 %)

eth = 3 032.28$ 74.89 (2.53 %)

ton = 3.02$ 0.02 (0.61 %)

usd = 77.89 -0.02 (-0.02 %)

eur = 91.12 -0.38 (-0.41 %)

btc = 122 253.00$ 4 344.75 (3.68 %)

Пользователь Habr обнаружил исходники сервисов ФНС в публичном доступе

2 минуты на чтение
Пользователь Habr обнаружил исходники сервисов ФНС в публичном доступе

Антон Пискунов выяснил это после исследования приложения «Проверка чеков». Оно было разработано налоговой для получения и хранения кассовых чеков в электронном виде.

Благодаря 54-ФЗ «О применении ККТ» появился сервис ОФД, который генерирует и отправляет пользователям фискальные данные об интернет-покупках в виде чека. Эти же данные поступают также и в налоговую. Любой подобный чек всегда содержит несколько обязательных идентификаторов в натуральном виде и в виде QR-кода, который можно отсканировать с помощью приложения «Проверка чека».

На примере сервиса заказа еды от Яндекса пользователь Habr продемонстрировал, что в этом приложении появляется электронная копия чека с подробным и детальным списком покупок, имеющим различные атрибуты.

Пользователь Habr обнаружил исходники сервисов ФНС в публичном доступе

Пискунов заметил, что, начиная с обновления 2.15.0, в рамках которого добавили функциональность отображения чеков из сервиса «Мои Чеки Онлайн», после аутентификации в приложении «Проверка чека» через номер телефона, который также используется и в других популярных сервисах, например, в Яндекс.Еда, Самокат, Ситимобил и прочих, будут отображены все чеки пользователя по всем операциям в этих сервисах за «всё время». Антон Пискунов отметил, что до этого момента приложение оперировало только лишь теми данными, информация о которых поступала после сканирования QR-кодов самим пользователем.

Пользователь Habr обнаружил исходники сервисов ФНС в публичном доступе
Чеки пользователя по всем операциям в сервисах за «всё время»

Исследователю сразу же стало интересно, насколько хорошо такой огромный массив данных защищён и может ли предполагаемый злоумышленник получить несанкционированный доступ к нему. Для этого он поставил в разрыв между интернетом и приложением «Проверка чека» простой прокси, чтобы записать сетевую активность приложения.

Довольно быстро выяснилось, что конечная точка с данными находится по адресу irkkt-mobile.nalog.ru:8888, на котором используется простейшее приложение на NodeJS с применением фреймворка Express. Механизм аутентификации пользователя пускает к данным при верном указании заголовка «sessionId». Его значение представляет из себя токен, который генерируется на стороне сервера.

При этом обнаружилось, что при компрометации токена нет никакой возможности его сбросить для гарантии отсутствия у предполагаемого злоумышленника доступа данным. Кроме того, Пискунов обратил внимание, что в случае ошибок приложения диагностические данные отправляются на домен sentry.studiotg.ru, зарегистрированный на физическое лицо, который не связан ни с ФНС, ни с ФГУП ГНИИВЦ ФНС РФ. Дальнейшее исследование его привело к ссылкам на публичные репозитории, индексируемыми поиском Google уже более года.

При исследовании содержимого репозиториев, пользователь Habr обнаружил исходники сервисов ФНС. Исходя из общей картины, он предположил, что данные о покупках россиян, попадающие в ОФД путём информационного обмена фискальными данными ФНС, находятся под угрозой утечки.

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
Лето на паузе: как изменился IT-рынок в июнеЛето на паузе: как изменился IT-рынок в июнеЛето на паузе: как изменился IT-рынок в июне

GigaChat Max: коротко о главном

Лето на паузе: как изменился IT-рынок в июне

Полная версия 
Серчинформ: сотрудники отрасли связи чаще всего сливают данные пользователей на сторону

GigaChat Max: коротко о главном

Серчинформ: сотрудники отрасли связи чаще всего сливают данные пользователей на сторону

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 377
OTP Bank
Газпромбанк
Сбер
Т-Банк
X5 Tech
билайн
МТС
Яндекс Практикум
Ozon Tech
Циан

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы