Как стать автором
Обновить

Как я нашел в публичном доступе исходники нескольких сервисов ФНС

Время на прочтение 4 мин
Количество просмотров 100K
Всего голосов 294: ↑286 и ↓8 +278
Комментарии 193

Комментарии 193

Никогда такого не было и вот опять
Почему-то всегда при подобных известиях приходит ну ум сравнение отечественных чиновников с анти-Мидасами из мифологии. У оригинала всё, к чему он прикасался — превращалось в золото. У чинуш же — в дерьмо.
«олег за всё берётся смело
всё превращается в говно
а если за говно берётся
то просто тратит меньше сил»
— Стишки-пирошки

До того момента пока ты не Олег :(

это можно менять на необидное «ФИО» или в данном случае «эФСИН» (чтобы было две гласные для ритма)
Супер, в копилку))

И где Роскомнадзор? Почему же он еще не примчался защищать ПД российских граждан, которые его так волнуют?! Или защита данных россиян это все же просто предлог для блокировок всего на свете?

НЛО прилетело и опубликовало эту надпись здесь
У меня(и вероятно у многих других) в проверке чеков, куча платежей от левых людей, которые мой телефон указали по какой то причине.
Банковские, страховки, просто разные магазины. И с разных городов.
Так что тут даже не понятно кого сажать.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

Погоди, сейчас они подсуетятся и заведут уголовное дело на хакира...

Типичное качество работы подрядчика подрядчика подрядчика генподрядчика выигравшей тендер организации.

Как когда-то было написано в лирическом отступлении к моему резюме — «за те же деньги можно нанять пятерых студентов, но разгребать после них будет уже дороже».

Интересно, почему в договора с генподрядчиком не включают пункт об анальных карах за привлечение третьих лиц для выполнения договора. Это же так просто!

Это когда вы делаете договор на заменить у себя в ванной сифон — может быть и просто, а когда надо выполнять большие объемы работ или обеспечить в закупках гарантийный залог на несколько десятков милионов — то можно остаться с тем что вашу работу в принципе никто не возьмется выполнять, так как таких органзиаций просто может и не существовать.

Так в таком случае генподрядчик по сути занимается отмыванием бабла! И он реально только паразитирует на контрактах. Прикиньте — насколько была бы здоровее экономика, если деньги шли напрямую конечным исполнителям без всех этих «комиссий»!!!
А управление рисками? Мы же видим, что генподрядчик абсолютно наплевательски относится к данным клиента


обеспечить в закупках гарантийный залог на несколько десятков милионов

Ну, да, это сразу отрезает доступ к контракту «мелким чепешникам». Другой вопрос насколько это нормально :/

Так в таком случае генподрядчик по сути занимается отмыванием бабла! И он реально только паразитирует на контрактах.

Это в общем-то не новость

Прикиньте — насколько была бы здоровее экономика, если деньги шли напрямую конечным исполнителям без всех этих «комиссий»!!!

Поздравляю, вы изобрели СССР, где за спекуляцию сажали.
Тогда бы ВВП не рос, по мнению людей в этой кормушке, если бы не было кучи прокладок посередине. И оффшорные счета бы не росли.
Тогда бы ВВП не рос, по мнению людей в этой кормушке, если бы не было кучи прокладок посередине. И оффшорные счета бы не росли.

тогда проще просто печатать деньги и раздавать их людям. Люди тратят деньги — покупают товары — ВВП растет )))

Ключевое слово — «некоторым людям», имеющим власть или приближенным к ней. Иначе инфляция, и нет ощущения уникальности от своего богатства.

Надо просто понимать, что во власть всегда и во все времена идут только для этого. Не с целью сделать всех одинаковыми, а сделать себя выделяющимися на фоне других.
Даже коммунисты не стремились сделать всех одинаковыми, это было просто речи для плебса, сами же они стремились жить в лучших роскошных квартирах и получать плюшки, недоступные плебсу. Привет 200 отделу в ГУМе, только для избранных. Тот же иностранный агент Ленин, финансируемый немцами, в 17 году по приезду из Швейцарии остановился почему-то не в вшимом хостеле, а в лучшей гостинице Националь рядом с кремлём. Но в уши плебсу знатно заливал сказки.
А как же шалаш и бревно?
Ленин в 1917-м приехал в Петроград
Ну да, в 1918, уже будучи главой государства.
В начале 1918 года после переноса столицы РСФСР в Москву гостиница «Националь» была национализирована и переименована в 1-й Дом Советов. В бывших номерах временно поселились советские чиновники наркоматов. До переезда в Кремль в люксе № 107 на третьем этаже жили председатель Совнаркома Владимир Ленин и Надежда Крупская.

Но 1917 он жил в особняке балерины Кшесинской, подаренном ей императором. Ещё до октябрьской революции. Просто самовольно захватил.
Во время Февральской революции Кшесинская вместе с сыном Владимиром в спешке покинула свой особняк. Опустевшее здание было самовольно занято солдатами мастерских запасного автобронедивизиона.
Это работает только если конечный исполнитель один. Ваша идея в абсолюте — это толпа программистов без всяких менеджеров. И это, очевидно, не будет работать. В нормальном мире генподрядчик это тот кто подберет кучу подрядчиков и проконтролирует их работу. Представьте что вам надо построить дом, и вам лично придется искать отдельно каменьщиков, кровельщиков, сантехников и прочая. При этом еще оценить качество этих товарищей, выстроить процессы так чтобы все происходило в правильном порядке (Реальный кейс: сначала залили пол, а потом высянили что под ним канализация должна была быть проложена). Вот чтобы все это организовать и существует генподрядчик.

Это Айти, а не стройка — тут можно все :-)
И, да, бывают кейсы, когда конечный исполнитель один.
Менеджеры, кстати, нужны.


Представьте что вам надо построить дом, и вам лично придется искать отдельно каменьщиков, кровельщиков, сантехников и прочая.

ага, только в том же ЕПАМе есть все — и датасайентисты, и программисты, и инженеры, и поддержка, и дизайнеры. В конце-концов никто не мешает нанять нужных людей (но вопрос их поиска — это да) в отдельную ООО и именно она будет вести проект.


Вот чтобы все это организовать и существует генподрядчик.

в данном случае цепочка оказалась длиннее ))))

включает, но только когда касается подрядчиков, не имеющих личных связей с организатором тендеров

Так это же прекрасно. Государственный софт с открытым исходным кодом :)
Было бы прекрасно, если бы было осознанно, а так будто накидали мусора в бутылку, налили клея, потрясли и получился красивый кораблик. Но в принципе п.4 из выводов не является минусом, если забыть про стандартные пункты контракта и лицензию приложения.
Идея правильная, только никто ее не будет реализовывать. А так под этим соусом можно было бы классные вещи создавать, если реально работать, а деньги пилить.
для полноты картины было бы интересно взглянуть на тендерную документацию. сколько наших кровных налогоблажённых денег на это всё ушло
career.habr.com/companies/studio-tg
Мы гордимся, что достойно смогли принять участие в таких проектах как Личный кабинет налогоплательщика; Геопортал «Мониторинг государственной программы»; ГИС «Мониторинг строительства Олимпийских объектов».


Организация ООО Студия Т_Г являлась поставщиком в 14 государственных контрактах на сумму 162 755 420 руб.
image
Ну, что сказать — душевно!
Хм, полез перепроверять данные
И кажется это только контракты до 2017го года включительно

Это компания кого надо компания, судя по всему :)

Ага, и там работают ITшники кого надо ITшники разумеется.
В свободное время они заходят на хабр и <роскомнадзор>вертят государство и чиновников, а в рабочее время пилят <роскомнадзор>код для нужд опричников корпоративных заказчиков и строчек в резюме.
162кк это минимум на 25 на этот срок с этой зарплатой, так что что-то не сходится. тут можно было и девопса нанять и безопасника. а у них судя по career.habr.ru только фронтендеры и пара бэков
Стоило сначала написать им, а после закрытия дыр — сюда. Иначе есть риск, что тебя тащ майор за ж возьмёт.

Именно так и было.

А, фух, а то обычно статьи подобного рода начинались с «я с ними связался, дыры закрыли, всё ок, а теперь собсно суть» или «я связался с ними, меня послали, а теперь суть».

Подумал, что ты просто вальнул статью, без предупреждения накосяпоривших.
Так можно было бы поступить если не живёшь в РФ и не планируешь там когда либо оказаться.
Хорошо хоть дыры таки закрыли. А то те же банки игнорируют до последнего, а как опубликуешь, сразу уголовным делом начинают грозить.
К сожалению, даже «не живя в РФ и не планируя приехать» — так поступать тоже нельзя, т.к. по запросам наших органов другие страны бывают частенько экстрадируют в Русь Матушку. Вон недавно Польша одного чела выдала нашим спецслужбам, до этого где-то в Малайзии подобный случай был. Ну нафиг, так рисковать.

Ну там вроде если явная уголовщина, вроде убийство. По политическим мотивам не отдают (а тут ими попахивает, типа всковырнул коррупцию), поэтому в Польше и Швеции до сих пор без проблем живут деятели Ичкерии, например

Надо на этот случай чтоб был в мире какой-то сайт, телеграм-канал(?) или даже просто человек. Может быть анонимный, а может быть просто в стране хорошие законы должны быть и у него хорошая репутация. Отсылаешь уязвимость ему, он связывается с ответственными лицами в той организации, пытается закрыть дырки до опубликования (ну в общем все по закону и правилам хорошего тона). Затем, если те не реагируют — от своего имени публикует. Сам автор уязвимости может оставаться неизвестным, если не хочет.

Например, для уязвимостей в серверах Таджикистана — было бы хорошо, чтоб этот человек был не в Таджикистане.

Может, под "так и было" имелось в виду что тащ майор за это и взял?

исходный код данных сервисов находится в публичном доступе


Государственный сервис разработанный за деньги налогоплательщиков, нельзя показывать налогоплательщикам? Хмммм…

Меня в этой ситуации больше волнует bugbounty, а точнее отсутствие оного?

Какое-такое багбаунти?

Сервис — можно и нужно, а вот обрабатываемые им данные о покупках отдельного налогоплательщика всем остальным налогоплательщикам — неа. Как и историю болезни, хотя ведется она в системе, созданной на все те же деньги налогоплательщиков.

Государственные сервисы багбаунти выдают в годах лишения свободы.

Именно для таких людей и придумали "шараги" sarcasm

"Лучшее поощрение — это ненаказание"

Наоборот! «Не наказание — уже поощрение».
Не удивлюсь, если и апк без обфусикации. На самом деле, нечему удивляться, деградация идет во всем

А в чём смысл и необходимость обфускации apk?

В том же, в чем смысл не хранить ключи от api и пароли в открытом виде. Да, не панацея, но вполне простой способ еще немного улучшить защиту от реверса и взлома

еще можно было certificate pinning сделать, чтобы нельзя было сделать:


Для исследования я поставил в разрыв между интернетом и приложением «Проверка чека» простой прокси и записывая сетевую активность приложения потыкал в кнопки.

Да много чего можно сделать :)

Который отключается не сложнее, чем включается. Это поможет от злоумышленника, находящегося между клиентов и сервером, и совершенно никак не помещает клиенту(исследователю).

А как именно отключается certificate pinning? Это же не общесистемная фича, приложение тупо содержит fingerprint-ы своих сертификатов (или их CA), и без отключения этой проверки в коде самого приложения обойти её не получится. А найти и поменять if внутри чужого кода — не совсем корректно описывать фразой "отключается не сложнее, чем включается", мягко говоря.

Отключается именно путём модификации кода приложения. Обычно это можно сделать автоматически с помощью frida.
security by obscurity

Не, apk у них обфусцирован. Не сильно страшно, т.к. котлин интринсиками палит имена переменных, но обфускация всё-таки в наличии

API старой версии этого приложения (когда можно было просто загрузить чек по QR и получить детали) — курочили. И даже на хабре статьи (например https://habr.com/ru/post/358966/ ) были как это для себя использовать.
И 3rd party софт появился.
Ну да — для авторизации нужен был номер телефона аккаунта ФНС и доступ к нему.


А вот в данном примере — я что-то не понимаю, ну да — тут халатность с доступом к исходникам налицо. А где левый доступ данным(случаи что при покупке указали левый номер телефона — это не халатность разработчиков, это халатность тех кто придумал чеки по смс на телефон (ну а куда ЕЩЕ их слать если e-mail нету а прислать надо)).

Ну, чеки по смс это тупость — потому что это неявно предполагает наличие мобильного телефона у каждого гражданина страны. Что не совсем верно. Хотя и для большинства это так.

Насколько я всю эту механику с 54-ФЗ помню — если клиент сказал что чек по e-mail или смс то продавец обязан отправить на смс в любом случае а на e-mail — если есть техвозможность. см например https://kontur.ru/ofd/news/5918
Без разницы продавец чего (да хоть хлеба в магазине).
Если покупатель не требует — его дело.
Если покупатель дал e-mail — можно не использовать смс а слать на e-mail (а интернет сервисы e-mail имеют почти всегда имеют же).


Приложение ФНС даже QR-код умеет показывать с закодированным телефоном и e-mail чтобы на кассе считали.
Мне конечно интересно что будет если я распечатаю соответствующий кусок закона и попробую от продавца хлеба выполнять его.

попробую от продавца хлеба выполнять его.

Мне кажется, что вы введёте в ступор кассира )
это проблема исключительно кассира. даже в мобильных кассах есть возможность указать телефон/почту покупателя. если такие данные пришли в офд, офд отправляет чек. а в 5ке, например, можно поставить галочку в приложении, что согласен получать чек на e-mail вместо бумажного
Да нет.
Кассир простой исполнитель.
Вопрос в наличии и полноте информационной системы для выполнения таких функция.
А это проблема собственника.
Не знаю, будут ли это как-то решать мелкие магазины у дома.
В ПО от мало-мальски вменяемых разработчиков фича ввода телефона/емейла присутствует примерно с момента вступления в силу 54-ФЗ, т. к. соответствующее требование явно прописано в законе, и реализуется элементарно (даже на упомянутых тут автономных кассах с цифровой клавиатурой — ага, многократным нажатием клавиш как на кнопочных телефонах).
Но многим магазинам эта фича нужна раз в пятилетку, причём исключительно для случая когда приходит любопытный IT-шник, чтобы проверить: «А что так можно?» В результате запрятана она может быть глубоко, и кассир может о ней не знать.

Посмотрите на "интерфейс" АТОЛ 91 lite (и подобных моделей) — насколько реально ввести e-mail с таким интерфейсом? А ведь есть ещё и модифицированные Меркурий-185Ф и даже более убогие модели… В общем, с отправкой чека в небумажном виде проблема может возникнуть даже при соблюдении всех букв закона.
Да, в виде СМС отправить выглядит более реально, но включить этот функционал и обучить персонал — не всегда просто.
P.S.: я работал "рядом" с сопровождением мелкой розницы, пару лет назад, как раз на волне срочного внедрения ОФД — в цирке смеяться почти перестал.

А менять кассы на более продвинутые или, более того, ставить компы с какими-либо учётными системами магазинам, естественно, не хочется.

Ну, вот, представьте — есть ИП, который производит предметы народного творчества (пусть будут глиняные свистульки), у него есть все разрешения ими торговать в отведённых местах… но торговать без касс с подключением к ОФД ему нельзя, а денег на комп (да и где его ставить на лотке возле вокзала?) у него нет — он даже на упомянутых мной "уродцев" денег с трудом набрал — раньше без чеков нормально можно было торговать… ну, или бабуля на рынке, которая огурцы два раза в год привозит на ручной тележке — нахрена ей что-то сложнее "калькулятора, печатающего чеки", который дирекция рынка выдаёт вместе с "билетом на день".

Да, создаётся впечатление, что законотворцы, к сожалению, или не представляют существующих реалий и разнообразий в жизни или даже и не хотят их узнавать.
Абсолютная классика. Можно копнуть чуть глубже: взять Sublist3r и копнуть по перебору поддоменов «из google». Пока Google не забанит, найдётся куча dev- и/или заброшенных поддоменов, вбитых когда-то в Chrome. В своё время сделал так для прошлой конторы иии… По стендам типа проект.фамилия.домен можно было досье составлять, кто к чему руку приложил
Раз все равно код утёк, то пусть теперь выкладывают в open source, а то баги в процессе заполнения 3-НДФЛ онлайн не правятся годами.
То есть их чудесный gitlab.studiotg.ru торчал наружу без авторизации и был проиндексирован гуглом? Я все правильно понял?

Да, несколько репозиториев были публично доступны, в том числе и поисковикам.

Божечки… Ну вам прямо повезло!
НЛО прилетело и опубликовало эту надпись здесь
Это та самая проблема, на которую уместно выдать решение «Да, но нет».
За двадцатку? Так я и думал, что продешевил.
НЛО прилетело и опубликовало эту надпись здесь
Точно продешевил!
А если серьёзно, то часто код почти «бесплатно» утекает. Кто-то решил взять своё «творчество» с собой по увольнению, кто-то где-то на форуме запостил кусок кода со своим вопросом, а кто-то просто не понимает разницу между хранением на корп сервере от хранения дома на email'е или на флешке.
Логично!
На этом все банки строят безопасность ))

Exactly.

Тоже самое произойдет с вами, как только вы станете маломальски публичным. И кому надо тут же пойдет шерстить потенциальных знакомых на предмет любой информации, которую эти люди будут готовы растрепать за двадцатку. Всякие Контактики упрощающие этот поиск потенциально ваш главный враг.


Я это к тому, что этот вектор атаки гики считают недостойным обсуждения с самим собой, кого бы я не спрашивал. В том что другие люди с легкостью за шелест банкнот распрощаются с частной информацией о вас у меня сомнений нет .

Немного офтоп, но всё же. У меня чеки с вайлбериса никогда не бьются через приложение проверки чеков. Всегда ошибка выдаётся. Что это может означать?

Спроси ФНС, они спросят ягоду. Вроде даже ссылка была в проверке чеков.
Меня вот пятерка задрала, у которой штрихкоды не распознаются, а если по номерам вбить, то чек проходит. Но они кажется просто такие бледно серые принтеры закупили.

Яркость печати настраивается в драйвере и она обратно пропорциональна скорости печати. Либо быстро и бледно, либо ярко но медленно. На скорости он просто не успеет бумагу прожечь.

У меня чеки одной сети аптек — тоже не бьются. Я посмотрел данные qr-кода — они просто не совпадают с чеком, то есть фискальный номер аппарата, фискальный признак, все данные другие — отличны от тех, что написаны на самом чеке. Только дата и сумма операции совпадают. Иными словами, код сгенерирован от балды. Не знаю, как такое возможно, но приложение такие чеки естественно не найдёт в базе. Несколько раз отправлял жалобы через это же приложение, не пока ничего не поменялось. Вообщем, похоже кто-то так мутит с налогами :-) это целая сеть аптек, но юрлицо одно, и большая часть их чеков не работают.

А по данным, которые буквами написаны на чеке — бьются? Если да — то это рукожопство создателей кассы, лепят небось один и тот же QR-код. А вот если и по фискальному номеру + фискальному признаку не бьются, то тогда уже скорее аптека химичит с чеками.

Недавно получил свежий чек, проверил — оба вариант не работают. Ни код, ни данные с чека, введенные вручную.

Можете написать письмо в налоговую (наверное, можно даже через госуслуги), с вопросом, что вот у вас есть чек, но что-то он не бьётся. Но это в том случае, если хотите, чтобы в аптеке прекратились махинации, т.к. это черевато закрытием аптеки.

Там прямо в приложении есть кнопка «пожаловаться», несколько раз писал туда. Но сама форма тупо устроена, она рассчитана на случай, когда якобы не выдали электронный чек. Мой случай вроде бы подпадает, но никогда не приходил фидбэк.
Я не думаю, что ее прям закрыли бы, максимум оштрафовали. Но, видимо, все схвачено. Я следующий чек выложу, вдруг я что-то не так понимаю :)

Заодно спросите там про плеер ру плз

Исходные коды государственных сервисов обязаны быть в открытом доступе
>> данные находятся под угрозой утечки.

Наличие исходных кодов серверной и клиентской частей никак не связано с компрометацией и утечками данных. В статье нет ни единого доказательства этого.

Обвинения аналогичны тому, как если бы все сайты на wordpress были скомпрометированы только на том основании, что исходники движка доступны всем желающим.

Единственное, к чему можно было бы придраться — наличие файла конфигурации с внутренними серверами и доступами. Проверить актуальность и работоспособность которых не представляется возможным (либо автор умолчал про это).

Когда софт целенаправленно пишется как Опенсорс — это одно.


А когда криворукий суб-суб-субподрядчик выкладывает сорцы в свой гитлаб на обозрение всему гуглу — там часто оказываются и пароли от баз данных и доступ в тот же Sentry в который легко в метаданных эксепшенов может прилетать вообще ВСЁ и так далее.


Доказательств, конечно, нет. Но выглядит страшновато.

Обычно базы стоят в приватной сети и даже получив пароль, ты не особо много получишь профита. Можно конечно получть и конфиг от VPN. Но так же можно и все остальное получить тогда

Ну, должен быть или zero trust, или эшелонированная оборона, чтобы даже при наличии впн реквизитов вся сеть организации не была скомпрометирована.

О какой сегментации может идти речь если у них даже доступ в гитлаб не настроен был нормально?

НЛО прилетело и опубликовало эту надпись здесь
Наличие исходных кодов серверной и клиентской частей никак не связано с компрометацией и утечками данных. В статье нет ни единого доказательства этого.

Наличие кода здорово упрощает поиск уязвимостей в системе. В отличии от того же вордпресса, код которого публично доступен и неоднократно подвергался аудитам, код данной системы скорее всего не предполагал публичный доступ.
Они скорее всего не актуальны. Так как благополучо переопределяються
Если раскрывать тему до конца, то надо в исходниках посмотреть, нет ли кнопки «пожаловаться на некорректную работу приложения». Вот если и она идет на 8888 неизвестного науке о безопасности сервера, или дает полную телеметрию как Win 10, вот тогда могут быть сделаны неутешительные выводы.
в случае крэша приложения оно отправляет диагностические данные в Sentry
Насколько я помню, в краш-репортах передаётся только серийный номер устройства, номер сборки, версия ОС итд.
Вероятно есть нарушение соглашений об обработке персональных данных
В таком случае, если персональные данные не передаются, то и нарушения нет.
Насколько я помню, в краш-репортах передаётся только серийный номер устройства, номер сборки, версия ОС итд.

Сентри — это не краш репорты. Ты можешь туда точно так же отправлять сообщения с debug level info и произвольным пейлоад — хоть логины и пароли пользователя. И поэтому это надо контролировать хотя бы на уровне код ревью… а если разработчики раздолбаи...

Спасибо за содержательный контраргумент. Всецело его поддерживаю.

Sentry сейчас по умолчанию довольно неплохо маскируют sensitive информацию, типа токенов/паролей, так что это надо быть не раздолбаем, а сознательным вредителем.

В чем проблема сторонней разработки? Обычный тендер. Вон, МВД «антимошенник» хочет разработать — тоже тендер объявило (это то приложение, про которое врали, будто оно должно доступ к адресной книге иметь для сверки тщ майором).

Где утечка данных-то? Ну, security through obscurity нет — глядишь, кто-то найдет реальные дыры в коде.
А что утекло такого, что позволяет пд получить? Сертификат какой-то?
Для этой конторы неприятно, смех и грех. Но желтизна статьи вызывает только раздражение.
В чем проблема сторонней разработки?

В целом — никакой. Если нет «левых» прокладок между исполнителем и заказчиком. Если подрядчик порядочный. Ну, не знаю — могли заказать разработку в том же ЕПАМе. И никаких гитлабов с открытыми репами на весь интернет не было. Повторюсь, проблема именно на уровне договорных отношений. Я вообще могу поспекулировать и предположить, что в договоре на разработку должен был быть пункт, что разработчик разрабатывает указанную программу, а потом отчуждает (передаёт) все права на неё заказчику. Это нормальная практика. И потом у себя сносит все репозитории, коды и прочее — потому что этап работ завершён и права уже переданы. Вот реально — зачем разработчику коды программы, которую он не будет дорабатывать? А затем, чтобы какой-нибудь другой проект забабахать на них! Либо втихую что-то мутить… такая вот логика.
А отсутствие такого пункта в контракте может означать просто (в очередной раз) низкую квалификацию или пофигизм сотрудников заказчика (или очередные коррупционные схемы)


А что утекло такого, что позволяет пд получить?

Вы статью хорошо читали, простите? Началось все с того, что приложение позволяет проверить единичный чек. Бинарно. Верный/неверный. Сам по себе чек и его qr это не секретная инфа. Проверили — молодцы. Далее происходит какая-то магия и все чеки от конкретного пользователя становятся доступны в виде единого списка (как я понял — ДАЖЕ ТЕ, которые НЕ сканировались). Здесь происходит какая-то магия, которую нужно разбирать, но, опять же, как я понял — хранение и привязка этих данных происходит на серверной стороне. И тогда очень важно, чтобы их нельзя было скурлить без авторизации. А тут по ходу проблема — т.к. токен «самопальный», но это тоже надо глубже копать.
Краткий вывод — проблема вероятнее всего есть, надо проводить аудит. А разрабы раздолбаи (и явно, что хакеры уже давно нашли этот репозиторий и полазили по продакшн серверам, оставили закладки)
Ожидайте новых интересных базулек на чёрном рынке

Однако, с языка сняли, всё верно.

[компания] разработчик разрабатывает указанную программу… И потом у себя сносит все репозитории, коды и прочее 

Вы забыли важный пункт! Сотрудники разработчика тоже должны стереть свою память! Для этого вызвать команду Men in Black. ;)


Если серьезно, то у разработчика накапливаются свои наработки, фреймворки и прочее. Что не нужно отдельному заказчику, но позволяет разделить затраты на их разработку на всех. Иначе каждый раз нужно тратить время и деньги на это.

Если серьезно, то у разработчика накапливаются свои наработки, фреймворки и прочее. Что не нужно отдельному заказчику, но позволяет разделить затраты на их разработку на всех. Иначе каждый раз нужно тратить время и деньги на это.

тип используемых компонент в заказном софте тоже должен быть указан в договоре на разработку. Скажем, использование "свободных" компонент — ок. Но вот если разработчик использует какую-то коммерческую библиотеку и пиратит ее… Ну, дальше Вы знаете, что произойдет.

Кто сказал "пиратит"?
Я говорю про разработки самой компании-разработчика. Даже во внутренней продуктовой разработке начинаются появляться компоненты не для бизнеса, а для других разработчиков. Знаю компанию, где есть такой "внутренний опен-сорс", который используют другие команды.
Если вы делаете ПО на заказ, то вам точно так же хочется снизить издержки на каждый заказ, сделать его более универсальным, чтобы легче подключать новых разработчиков, проще тестировать и пр.
И вот эту разработку компания точно не захочет потерять.

Еще раз — это должно быть оговорено в контракте. Не более того.


Если вы делаете ПО на заказ, то вам точно так же хочется снизить издержки на каждый заказ, сделать его более универсальным, чтобы легче подключать новых разработчиков, проще тестировать и пр.

так я ж не против, я за то, чтобы все условия проведения работ были оговорены "на берегу". Один из неплохих вариантов — опенсорсить такие общие компоненты ) а деньги брать условно за сведение компонентов в систему (=интеграция).

А как этот контракт проконтролировать? Вот я сделал удобную обертку по работе с S3 хранилищем и таскаю ее из одной конторы в другую из одного проект в другой. Просто имена пакетов меняю. Разраб не дурак, он полезные вещи собирает. А так можно какой угодно контракт заключить, однако некоторые условия будет очень сложно соблюдать, надо будет потратиться на корпоративный мессенджер, обеспечение всяких политик безопасности.

Поэтому проще сделать разработку библиотек и общих компонентов опенсурсной, а продавать «добавочную» ценность по интеграции компонентов и их поддержке.
Касательно моего случая — если б узнали, что исходный код переиспользован в коммерческом проекте — был бы скандал, вероятно дальше суд и «он бы разобрался». Предполагаю, что разработчик «попал бы на деньги»

и таскаю ее из одной конторы в другую из одного проект в другой

Если изначально обёртка была разработана в рамках какого-то контракта, то не исключено, что факт её дальнейшего использования противоречит этому контракту. Хотя, конечно, условия бывают разные…
Далее происходит какая-то магия и все чеки от конкретного пользователя становятся доступны в виде единого списка (как я понял — ДАЖЕ ТЕ, которые НЕ сканировались).

Эта магия доступна вне Хогвартса тут.
https://lkdr.nalog.ru/

Открою секрет — Тинькоф тоже получает все чеки всех пользователей. Автоматически. Правда пока только от Первый ОФД.
Данные о составе покупок банк получает благодаря подписанному клиентом соглашению о передаче чеков в банк, которое находится в приложении «Тинькофф» по пути «Ещё — Настройки — Список покупок — Включить «Отображение покупок». Вкратце функция описывается как «Включите, чтобы видеть электронные чеки в ленте событий».
НЛО прилетело и опубликовало эту надпись здесь
я давно ещё завёл отдельную симку которая валяется в старом телефоне для таких целей, потому что при упоминании где-нибудь своего номера, на него сразу же обрушиваются потоки звонков от банков, инвестиционных центров, ремонта окон и прочего лохотрона
Если сами разрешили рекламу, то ССЗБ. Шлите заказные письма с отзывом разрешения на получение рекламы.
Если не разрешали, то жалуйтесь в ФАС. С помощью приложения РосСпам это вообще делается в несколько тапов.

Мне после заявки на кредит на banki.ru стали слать вал СМС типа «Вам одобрен кредит на 15000 руб., подробности оп ссылке». По двум СМС уже есть решение о возбуждении административных дел, остальные в работе у ФАС.

Кстати, спамеры реально отвечают на запросы ФАС, какие-то «логи доступа на сайт с номера телефона ХХХ» рисуют. Один раз, кстати, такой ответ прокатил, но мне было влом обжаловать.

Это если оферту принять. Я не принял.

Я тоже не принял, они сами подключили со временем =)

СБ предоставляет список партнёров id.sberbank.ru, а вот партнёров третьих лиц надо искать у партнёров: вот один из них ucbreport.ru.

Ошибся веткой? О чём речь?
Найдёте, кто сказал в этом году?
Увы, шпионаж уже круглосуточный и автоматический
Кажется тебе стоит научиться формулировать свои мысли.

Так а вышло в итоге чужие данные дернуть? Или хоть как-то заабузить апи?

Ну, как минимум, раз токен самопальный, можно дернуть способ его генерации, проверить его на устойчивость к коллизиям, а учитывая, что токены не сбрасываются — генерировать их в большом количестве и дергать данные.

неправильно вопрос сформулирован. вопрос: прямо или косвенно удалось соотнести полученные данные с физическим лицом?

У меня к примеру в моих чеках есть левые платежи(не от меня) и в некоторых из них есть фразы типа: «Оплата договора ХХХХХХХХХ». По этому номеру с помощью соц. инженерии можно как то получить ФИО и т.д.
А если есть общий доступ к базе чеков, то номер телефона везде указан, и по нему уже проще персонализировать информацию.
Ну, это один из способов использовать инфу.
Если есть вариант достать значимый % (ну там 5%, например) от общей базы чеков, пусть и без привязки к физлицам, то тоже можно прибыль извлечь, анализируя конкуретнов, их динамику, успешность маркетинговых кампаний

бигдата через дырку в заборе ))) имхо, такая себе финансовая идея. к тому же анализ данных законодательно вроде пока не запрещен. использование результатов может быть под запретом.

НЛО прилетело и опубликовало эту надпись здесь
Открытый код это даже хорошо =). Больше интересует вопрос — а будут ли гарантийный ремонт производить по списку выявленных недоработок? Думаю что за разработку этого приложения отвалили немалую денежку.

Автор, обрати внимание на ещё
MARKIROVKA_HOST = http://...


SRSLY!?!?!?!?!?

Ага, они занимались всем, в т.ч. личным кабинетом налогоплательщика (а там, следовательно, задело обработку кассовых чеков получаемых от ОФД). Плюс так же видал ТЗ на доработку системы маркировки (мб в свежих закупках они что-то еще делали недавно с ней...).

ТЗ 2017го года
ТЕХНИЧЕСКОЕ ЗАДАНИЕ

на выполнение работ по развитию информационной системы маркировки товаров
контрольными (идентификационными) знаками

Полное наименование выполняемых работ
Полное наименование работ: «Развитие информационной системы маркировки товаров контрольными (идентификационными) знаками.
Развитие Компонента Меха и его интеграция с компонентами Системы общесистемного применения в части:
— расширения функциональных возможностей модулей Личного кабинета Компонента Меха (ЛК)».
Настоящее техническое задание определяет основные требования к проведению работ по развитию информационной системы маркировки товаров контрольными (идентификационными) знаками в части расширения функциональных возможностей модулей Личного кабинета Компонента Меха (ЛК).

Я пробежался по-диагонали по исходникам и скажу вам, что там хватает кеков.


Кстати, у меня есть рабочая теория отчего же так все окологосударственные разработчики любят открытый HTTP.


Дело в том, что HTTPS у сервисов которые их окружают, зачастую работает на базе ГОСТового шифрования, к которому, естественно, никакой обычный софт без танцев с бубном не цепляется.


Проброс туннеля через stunnel, который терминирует ГОСТовый TLS/SSL и отдаёт обычный, ребята не могут осилить и поэтому везде поголовно торчит HTTP.


Как-то так.

Проброс туннеля через stunnel, который терминирует ГОСТовый TLS/SSL и отдаёт обычный, ребята не могут осилить и поэтому везде поголовно торчит HTTP.

насколько мне известно, stunnel не является разрешенным к использованию сертифицированным криптографическим средством :-)

Отнюдь!


stunnel входит в комплект поставки КриптоПРО CSP который весь вдоль и поперёк обмазан этими вашими сертификатами и лицензиями.


https://www.cryptopro.ru/products/other/stunnel
https://www.cryptopro.ru/products/csp
https://www.cryptopro.ru/certificates?pid=1417

Входит, но 5 лет назад «формулярщики» на местах не разрешали использовать как решение. Обычно вкорячивался как временное решение для тестов и забывался.

Пользуясь возможностью, спрошу у специалиста. Насколько соотносится с безопасностью необходимость при использовании stunnel напрямую указывать в файла конфигураций пин код от закрытого контейнера?

Храните секреты в переменных окружения отдельного пользователя под которым запущен stunnel, а по-уму ваще внедрите HashiCorp Vault, например.

Че там, на чем госуслуги зашифрованы?

Сравни цифры, прикинь насколько шифрование замедляет работу и что будет если весь бэк-энд переедет на него
www.nginx.com/blog/testing-the-performance-of-nginx-and-nginx-plus-web-servers

ГОСТы работают медленнее. Банально нет ускорения на вражеском железе (хотя если в равных условиях сравнивать, то тоже медленнее, но уже не так драматически)… А с ускорением и ГОСТ херачит на 100Гб/с. Есть разработки.
Кейс в целом валидный, а в частности — не очень. Оверхед на шифрование будет не особо большой же относительно суммарного количества ресурсов, требуемого для исполнения запроса. Да, может балансеры придется пожирнее поставить, но в целом то и все.
Проблема медленного шифрования актуальна для CDN и прочего, что требует отдачи больших объемов данных, но при этом операция на само _исполнение_ запроса очень быстрая (вычитать с диска с минимальной валидацией запроса по сути). В подобных же приложениях с современным устройством окружений, где обычно все живет за выделенными балансерами, «тяжелое» шифрование на внешнем канале просто приведет к тому, что надо будет пул балансеров собирать не из условных 16CPU/32Gb, а из 32CPU/64Gb. В масштабах большого проекта в целом мелочь.
Ну, дебажить проще же :) Подумаешь, что не везде оно ходит через туннели или внутри локальной сети…
По-моему это прекрасно и любой код написанный за налоги (кроме явной оборонки) должен быть открыт, а методы обработки любой информации государтсвом публичны и проверяемы.
А почему кроме оборонки?
да кому интересно в их бэйсике разбираться.
Да открыли бы исходники какой-нибудь системы ГАС Выборы — я думаю там можно поржать
Например с того, что их тупо нет
Под капотом weighted random?
В конфиге «в связи с проведением технологических работ»…
После статьи надпись на первой картинке, приобретает совсем другой смысл
www.studio-tg.ru
Они и не скрывают, что это они делали личный кабинет налогоплательщика.

Сайт весь кривой у меня на мобильном (неюзабелен). Плохо как с бэком, так и с фронтом....

ФГУП ГНИИВЦ ФНС РФ

Если произнести это вслух, можно нечаянно вызвать Ктулху
А знаете, как сейчас «школа» называется? МАОУ СОШ, и не менее.
дада, я в такую 10 лет назад закончил) ну такими темпами скоро аббревиатуры на два абзаца не будут редкостью)

Нужно на законодательном уровне обязать открывать исходники всех государственных сервисов и приложений и проводить независимый аудит безопасности. Тогда всякие кривые и самопальные механизмы аутентификации и прочие потенциальные дыры с большей вероятностью до продакшена не пролезут и не обнаружатся внезапно при сниффинге трафика приложения.


На правах сарказма: молодцы ребята, сделали робкий шаг к открытости и прозрачности. :)

На сколько я знаю лишь в нескольких странах ЕС это недавно начали делать.
Очевидно не только у нас такие проблемы.
Коллеги!
Очевидно, что государственные структуры в большинстве своём не справляются с IT. И справляться у них нет никаких стимулов — потому что они в любом случае останутся безнаказанными. У общества просто нет инструментов как-то влиять на гос управление, как ни странно.
Могла бы помочь как-нибудь IT партия — но мы же все дофига «аполитичны» — да и мало кто в движуху вписался бы(
Есть у меня гипотеза: сильные разработчики, которые действительно шарят, понимают что и почему делается, и поэтому не идут работать в такие структуры (например, не хотят блокировать телеграм/твиттер). Поэтому там работают те, кто может себе позволить допускать такие факапы (и не способен противостоять первым)
Минуточку!
Хотели чтобы ПО, которое разрабатыввается на деньги налогоплательщиков было в открытом доуступе? Получайте!
Следующий шаг — отправить в тот открытый гитлаб парочку пул-реквестов :)
НЛО прилетело и опубликовало эту надпись здесь
PDF_DISABLE_SMART_SHRINKING=false

Люто негодую, когда делают так, вместо:


PDF_ENABLE_SMART_SHRINKING=true
Это всё замечательно, особенно сэндвичи. Судя по цене, там одного мяса килограмм/штука.
Или я попал в параллельную реальность.
НЛО прилетело и опубликовало эту надпись здесь
сообщи кому следует, зачем разглашать?

не затем, чтобы поглумиться, а затем, чтобы людям стыдно стало и в следующий раз они делали нормально! Если не будет обратной связи — ничего не изменится.

image

интересен ответ ))
Спецслужбы российской федерации взламывают собственные каналы связи для компроментации собственных служб — из покон веков в россии так было и будет

Разочаровывает тот факт, что даже после такого рода публикаций мало что меняется

Ахах, вы — не правы. После такого рода публикаций, я — нашёл работу мечты :)

и для чего ты им это рассказал? я использовал сие для себялюбимого для пользователей чтоб бесплатно проверять чеки на валидность и прочее. а теперь придется искать новые API и возможно даже за деньги. все давно про это знают и все давно этим пользуются.
Я обеими руками за опен сорс! (и тут мне отрубило руки)
НЛО прилетело и опубликовало эту надпись здесь
Казалось бы где-где, а в ФНС по идее с безопасностью все ок должно быть… Интересно, ответственность за это кто-то нести будет? Или как обычно, своим все, остальным закон?
This will make me feel cheated!
Обычная ситуация для гос. заказа, подрядчик пилит, заказчик принимает не глядя, не запуская аудит, т.к. и в аудите не шарят, либо же аудит проводят такие же дауны)
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории