Главная
>
Смешные картинки
>
копипаста
копипаста
Подписчиков: 6 Сообщений: 465 Рейтинг постов: 3,246.7
дыра уязвимость новости habr длинопост информационная безопасность it мопед не мой Российская федерация копипаста информационная небезопасность
Как я нашел в публичном доступе исходники нескольких сервисов ФНС
Предыстория
Суть приложения «Проверка чеков»
Страница приложения «Проверка чеков» в App Store
Страница входа в Sentry команды Studio TG 
Страница входа в GitLab команды Studio TG 
Публично доступный репозиторий ansible_conf/install_geo 
Содержимое архивов из репозитория ansible_conf/install_geo 
Содержимое папки lkip-web-login, это — исходный код сервиса lkip2.nalog.ru 
uppod-styles.txt на сайте lkip2.nalog.ru 
Содержимое файла .env судя по всему прямиком с боевых серверов В итоге
Как-то так.
Возьмём приложение «Проверка чека» и разберемся что оно делает и зачем ваще кому-то понадобилось проверять чеки с помощью приложения.
Я не помню как это работало раньше, но с 2016-2017 годов, благодаря 54-ФЗ «О применении ККТ» появились некие ОФД с целью «...осуществления операций по приёму, обработке, хранению и передаче фискальных данных в ФНС», а всех кого только можно обязали использовать кассовое оборудование, генерирующее те самые фискальные данные и что немаловажно, обязали эти данные посредством ОФД передавать в ФНС.
Если у вас тоже немного припекает от всех этих аббревиатур, то вот вам терминальная стадия аббревиатуринга в лице названия организации которая отвечает за приложение «Проверка чека» — ФГУП ГНИИВЦ ФНС РФ.
К этому моменту — мы еще вернёмся, кстати.
Прикладной смысл вышеописанного очень лёгко понять на примере сервиса заказа еды.
После заказа вы получаете на почту электронный чек, это и есть те самые фискальные данные. Отправляет их в ваш адрес, однако, не сервис заказа еды, а именно ОФД, которое используется сервисом, в данном случае — Яндекс
Любой подобный чек всегда содержит несколько обязательных идентификаторов в натуральном виде и в виде QR-кода, который можно отсканировать с помощью исследуемого нами приложения «Проверка чека».
В итоге, в приложении «Проверка чека», появляется электронная копия данного чека и тут я хочу обратить ваше внимание на атрибутивный состав кортежа с данными, а именно, на полный и детальный список чего и когда и за сколько денег моя персона приобрела, это — важно.
Но всё бы ничего, если бы не один недавний апдейт данного поделия, который и привёл меня в ужас. До недавних пор приложение оперировало лишь теми данными которые ты сам соизволил туда засунуть путём сканирования QR-кодов и не представляло, ни особого интереса, ни особой угрозы личной безопасности.
Всё изменилось две недели назад после обновления 2.15.0 в рамках которого был выкачен функционал «отображение чеков из сервиса Мои Чеки Онлайн».
История версий приложения «Проверка чека»Обновление 2.15.0
Если пройти аутентификацию в приложении «Проверка чека» указав номер телефона, который вы так же используете в популярных сервисах, например, в Яндекс.Еде, Яндекс.Такси, Самокате, Ситимобиле и других, то в разделе «Мои чеки» автомагически будут отображены все ваши чеки по всем операциям в этих сервисах за «всё время».
В моём случае, это порядка 400 чеков, каждый из которых содержит детальный набор «сколько, за что, когда и куда».
Мне сразу же стало интересно насколько хорошо подобный массив данных защищен и может ли предполагаемый злоумышленник получить несанкционированный доступ к нему.
Для исследования я поставил в разрыв между интернетом и приложением «Проверка чека» простой прокси и записывая сетевую активность приложения потыкал в кнопки.
Довольно быстро выяснилось, что эндпойнт с данными находится по адресу irkkt-mobile.nalog.ru:8888 на котором живёт простейшее приложение на NodeJS с применением фреймворка Express, а механизм аутентификации пользователя пускает тебя к данным, если ты верно указал заголовок «sessionId» значение которого представляет из себя какой-то самопальный токен генерирующийся на стороне сервера.
При этом, если нажать кнопку «Выйти» в приложении «Проверка чека», то как оказалось, инвалидации данного токена не происходит. Так же нет функционала просмотра всех своих сесссий и нет кнопки «Выйти на всех устройствах».
Таким образом даже если вы каким-то образом поняли что токен доступа был скомпрометирован, то нет никакой возможности его сбросить и тем самым гарантировать с этого момента отсутствие у предполагаемого злоумышленника доступа к вашим данным.
Крайне безответственно, но не фатально.
SentryВ процессе просмотра «улова» на промежуточном прокси я обратил внимание, что в случае крэша приложения оно отправляет диагностические данные в Sentry располагающийся по адресу не связанному, ни с ФНС, ни с ФГУП ГНИИВЦ ФНС РФ, а на домен зарегистрированный на физическое лицо — sentry.studiotg.ru.
Рядом сразу же был обнаружен gitlab.studiotg.ru.
Дальнейшее исследование эндпойнта привело к ссылками на публичные репозитории в этом Гитлабе находящиеся в индексе Гугла уже более года.
Содержимое публичных репозиториевзаставило меня биться в истерике.
Пояснение к скриншоту выше: папки содержащие подстроки «lkio», «lkip», «lkul» напрямую относятся к одноименным сервисам ФНС на домене nalog.ru.
Для сверки, что обнаруженные исходники действительно относятся к сервисам ФНС, проведена простая проверка наличия на боевом веб-сервере файла uppod-styles.txt, который не мог там оказаться по случайному совпадению.
Фактический разработчик мобильного приложения «Проверка чека» некая studiotg.ru.
Вероятно есть нарушение соглашений об обработке персональных данных в силу передачи диагностических сведений со стороны ФГУП ГНИИВЦ ФНС РФ в адрес третьих лиц.
Данные ребята так же причастны к разработке сервисов lkip.nalog.ru, lkul.nalog.ru и lkio.nalog.ru.
По их вине исходный код данных сервисов находится в публичном доступе уже около года.
Исходя из общей картины, предположу, что данные о ваших покупках попадающие в ОФД путём информационного обмена фискальными данными с ФНС, на текущий момент, находятся под угрозой утечки.
копипаста политика
Барин, давай откроем ворота?
- Пахом, мы уже вчера это обсуждали. Ворота открывать нельзя, снаружи печенеги.
- Но мне репу полоть пора.
- Печенеги, Пахом.
- Но у меня там репа не прополота...
- Не до твоей репы сейчас, Пахом! Осадное положение у нас, неуч! Ещё раз за ворота сунешься - высекут!
- Ну ладно. Значит, подати в этом месяце можно не платить?
- С ума сошёл! А казне что, пустовать? Подати чтоб занёс в срок, либо высекут.
- Охти, господи... Ну ладно. Тогда мне скорей на огород надо, пусти!
- Пахом, ты идиот? Двадцатый раз повторяю: за ворота никому нельзя, огороды подождут.
- Но твой-то огород утром пололи, сам видел, целая бригада работала!
- Той бригаде князь пропуска выписал, печенеги пропусков боятся.
- Так почему твой огород можно полоть, а мой - нет?
- Мой огород - системообразующий. Он должен продолжать функционировать, чтоб весь город с голоду не пропал.
- Значит, мне тоже мешок репы с твоего огорода причитается?
- Нет, с чего это мне тебя кормить? Я же в казну подати плачу.
- Аааа, мне казна мешок репы даст?
- Всем горожанам по мешку репы дать - никакой казны не хватит. Будут помогать адресно, только пострадавшим от печенегов.
- А мне-то?
- А ты разве от печенегов пострадал?
- Пострадал, конечно. Репы-то у меня теперь не будет...
- Какой ты циничный, Пахом. Прям противно. "Пострадал" - это когда тебя ранили, либо убили. Люди гибнут, а ты про свою репу...
- Конечно, я про репу! Без неё голодать придётся, загнусь! И чтоб подати в казну занести, мне надо, опять же, репу на базаре продать...
- Тьфу! Ладно, чёрт с тобой. Нытик. В этом месяце подати не плати, в следующем заплатишь вдвое.
- В следующем месяце я вообще ничего не заплачу. Урожай ведь пропадёт, по случаю осады.
- Как знаешь. Но смотри, не заплатишь - высекут!
- Вы что, смерти моей хотите? Тогда чем вы лучше печенегов?
- Зачем так? Мы просто говорим, что ты должен некоторое время посидеть дома. Не работать. Не иметь никакого дохода. Но при этом покупать еду и исправно платить подати. Неужели это так сложно?
- Вообще-то - да, довольно сложно. Не знаю даже, как я без своей репы...
- Короче, надоело тебя убеждать! Ещё раз тему репы поднимешь - высекут, так и знай! А посмеешь ещё раз законные власти города с "печенегами" сравнить - вообще в яме сидеть будешь, за злостный экстремизм. Что за народ у нас? Стадо дикарей. Никакой дисциплины.
VR Oculus Oculus Quest 2 копипаста
Как указывает ресурс Engadget, Oculus Quest 2 примерно на 10 процентов легче оригинала и обладает чуть меньшими размерами — 503 грамм против 571 у оригинальной модели. Изменилось оголовье. Теперь оно сделано из тканевого материала. О практичности пока рано говорить, но что-то подсказывает, что теперь его придётся чаще очищать.
В основе Oculus Quest 2 используется чипсет Qualcomm Snapdragon XR2, который пришёл на смену Snapdragon 835. Кроме того, VR-гарнитура оборудована 6 Гбайт оперативной памяти вместо 4 Гбайт. Базовая модель Oculus Quest 2 также готова предложить 64 Гбайт постоянной памяти. Стоимость данного варианта оценивается компанией в $299. Доплатив $100 можно получить версию с 256 Гбайт постоянной памяти.
В Oculus Quest 2 отказались от использования OLED-экранов. Теперь здесь обычные жидкокристаллические дисплеи. Разрешение последних увеличено на 50 процентов и теперь составляет 1832 × 1920 точек на дюйм вместо 1440 × 1600 пикселей у первой версии гарнитуры. В настоящий момент экраны поддерживают частоту обновления 72 Гц. Однако компания обещает выпустить после поступления гарнитуры в продажу программное обновление, которое увеличит частоту развёртки до 90 Гц.
За $79 можно будет приобрести специальный кабель Oculus Link (USB 3.0 Type-C), который позволит подключать гарнитуру к ПК и играть в любые компьютерные VR-игр для Oculus Rift.(Только никто не знает нахрена если работает через любой тайпс кабель)
Такая возможность появилась в оригинальной модели Quest ещё в прошлом году, однако в виде бета-версии. Теперь поддержка будет официальной. Кроме того, компания заявила, что весной следующего года прекратит продажу гарнитуры Oculus Rift S, поэтому данная функция будет доступна только у моделей Quest. Со всеми дополнительными аксессуарами можно ознакомиться на официальном сайте компании.
ПС В общем жду обзоры и открытие границы с Польшей 299 баксов топ.
Источник https://3dnews.ru/1020812
В основе Oculus Quest 2 используется чипсет Qualcomm Snapdragon XR2, который пришёл на смену Snapdragon 835. Кроме того, VR-гарнитура оборудована 6 Гбайт оперативной памяти вместо 4 Гбайт. Базовая модель Oculus Quest 2 также готова предложить 64 Гбайт постоянной памяти. Стоимость данного варианта оценивается компанией в $299. Доплатив $100 можно получить версию с 256 Гбайт постоянной памяти.
В Oculus Quest 2 отказались от использования OLED-экранов. Теперь здесь обычные жидкокристаллические дисплеи. Разрешение последних увеличено на 50 процентов и теперь составляет 1832 × 1920 точек на дюйм вместо 1440 × 1600 пикселей у первой версии гарнитуры. В настоящий момент экраны поддерживают частоту обновления 72 Гц. Однако компания обещает выпустить после поступления гарнитуры в продажу программное обновление, которое увеличит частоту развёртки до 90 Гц.
За $79 можно будет приобрести специальный кабель Oculus Link (USB 3.0 Type-C), который позволит подключать гарнитуру к ПК и играть в любые компьютерные VR-игр для Oculus Rift.(Только никто не знает нахрена если работает через любой тайпс кабель)
Такая возможность появилась в оригинальной модели Quest ещё в прошлом году, однако в виде бета-версии. Теперь поддержка будет официальной. Кроме того, компания заявила, что весной следующего года прекратит продажу гарнитуры Oculus Rift S, поэтому данная функция будет доступна только у моделей Quest. Со всеми дополнительными аксессуарами можно ознакомиться на официальном сайте компании.
ПС В общем жду обзоры и открытие границы с Польшей 299 баксов топ.
Источник https://3dnews.ru/1020812
Warframe Игры Tennocon видео Xaku (Warframe) Hydroid (Warframe) Hydroid Prime копипаста Digital Extremes
ИССЛЕДУЙТЕ СЕРДЦЕ ДЕЙМОСА
Полный обзор TennoCon 2020
Исследуйте Сердце Деймоса. Третий открытый мир Warframe прибывает 25 августа на ВСЕ платформы!
Управляйте своим личным Некромехом вдоль гротескных ландшафтов, кишащих Зараженными. Узнайте правду о темных обитателях Деймоса — Энтрати, и столкнитесь лицом к лицу с ужасающим источником Заражения.
НОВЫЕ ОТКРЫТЫЙ МИР: СЕРДЦЕ ДЕЙМОСА
Зловещая тайна в глубинах недр Деймоса, скрытая от самих Энтрати, и Заражение, охватившее всю луну. Мы не можем дождаться, чтобы открыть перед вами «Сердце Деймоса»:
- Исследуйте новый открытый мир; магически красивый ландшафт, кишащий Зараженными и населенный мрачными Энтрати, и откройте неизведанное в постоянно меняющихся подземных лабиринтах пещер.
- Обуздайте мощь Бездны с Заку - вторым по счёту варфреймом, придуманным Сообществом Тэнно!
- Изменяйте ваш варфрейм как никогда ранее с помощью Гельминтова Хризалида. Скорми варфрейм Гельминту, чтобы абсорбировать Способность и перенести её на другой варфрейм.
СИСТЕМА ГЕЛЬМИНТОВА ХРИЗАЛИДА
С «Сердцем Деймоса» в игре появится система Гельминтова Хризалида. Это абсолютно новый способ изменять способности варфреймов. Кормите Гельминта ресурсами, чтобы отрыть новые Способности, либо позвольте Гельминту поглотить варфрейм целиком, чтобы экстрагировать одну из Способностей и перенести её на другой варфрейм.
ЗАКУ, СЛОМАННЫЙ ВАРФРЕЙМ
Представляем Сломанный Варфрейм, Заку - второй по счёту варфрейм, в создании которого принимала участие Энергия Бездны и наше Сообщество Тэнно! Вы придумали внешний вид и Способности этого варфрейма, а мы воплотили эти фантазии в жизнь.
Способности Заку основаны на манипуляциях с Энергией Бездны. Заку обладает способностью наполнять своё оружие энергией бездны, увеличивая наносимый им урон. Лишь немногие могут сопротивляться притяжению Бездны, и Заку использует ее энергию, чтобы обмануть врагов, чтобы они сражались на его стороне, или даже повернуть вражеское оружие против них самих же!
НОВЫЙ ИГРОВОЙ ОПЫТ
Пробуждение в Изначальной Системе никогда не выглядело лучше. Наш новый игровой опыт будет запущен вместе с «Сердцем Деймоса».
ТРЕЙЛЕР: ГИДРОИД ПРАЙМ
Трейлер для Гидроида Прайм приходит с новой волной! Смотрите, как необузданная подводная ярость вырывается на свободу.
ПРЕКС КАРТЫ ТЭННОГЕНА
Нам помогают восемь исключительно талантливых художников Тэнно для создания карт Прекс для «Сердца Деймоса»! Начиная с нового варфрейма, Заку, и заканчивая самыми отвратительными новыми зараженными врагами - эти карты содержат некоторые из незабываемых лиц «Сердца Деймоса».
Мы выражаем благодарность нашим художникам Тэнно — Casardis, DebbySheen, Kevin Glint, Matias, Davis Engel, NimkeArts, Sprinkah и Shadrad — за их потрясающую работу при создании «Сердца Деймоса».
Следите за появлением Карт Прекс во время предстоящей кампании призов Twitch, которая начнётся ближе к запуску «Сердца Деймоса»!
ПРЕЗЕНТАЦИИ "ЗВУК" И "ИСКУССТВО"
Кто бы мог подумать, что звуки Изначальной Системы могут быть сделаны из скрипа открывающейся духовки и горстки брюссельской капусты? Полюбуйтесь своими глазами (и ушами) на закулисную кухню создания ужасающих звуков Зараженных и получите особый привет от всех ваших любимых персонажей Warframe.
Наша талантливая команда художников дебютировала с двумя новыми варфреймами под кодовыми названиями "Wraith" и "Alchemist", зараженным компаньоном-кубрау, оружием зараженных и многим другим.
НЕДЕЛЯ ДВОЙНОГО СИНТЕЗА
Приготовьтесь к открытию Сердца Деймоса и получению удвоенного синтеза на всех платформах до 12 августа!
Warframe Игры Hydroid (Warframe) Hydroid Prime Tennocon копипаста
WARFRAME: СЕРДЦЕ ДЕЙМОСА
Подключайтесь к TennoCon 2020, чтобы открыть для себя Сердце Деймоса, посмотреть презентации в течение дня, насладиться творчеством Тэнно на Community Art Show и, конечно же, узнать несколько приятных сюрпризов!
НАГРАДЫ TWITCH
Получите варфрейм Гидроид Прайм, подключившись к трансляции TennoLive на Twitch или Steam и посмотрев в течение 30 минут без перерыва. Трансляция TennoLive начнётся в 17:00 по Восточному времени. Более того, смотрите любую презентацию TennoCon на Twitch или Steam с 12:30 по 17:00 по Восточному времени, чтобы получить эксклюзивную ручную пушку Атодай, созданную с использованием реактивных технологий для выстрелов незабываемой силы.
Чтобы получить свою награду, предварительно убедитесь, что ваши аккаунты связаны! Одна награда на аккаунт.
РАСПИСАНИЕ «TENNOCON 2020»
Подключайтесь в течение дня для просмотра ваших любимых презентаций вместе с некоторыми совершенно новыми программами в 2020 году, включая шоу «Звуки Системы», «Искусство Warframe», интерактивную передачу «Час TennoTrivia» и Community Art Show!
Торжество начнётся в 12:30 по Восточному времени. Просмотр стрима на Twitch бесплатен. Полное расписание можно найти здесь.
У вас всё еще есть время улучшить свой внутри-игровой опыт с Цифровым Набором TennoCon 2020, который останется доступным до 3 августа, 9:00 по Восточному времени.
ОТКРЫТИЕ «СЕРДЦА ДЕЙМОСА»
Узнайте о нашем новом обновлении, «Сердце Деймоса» во время трансляции TennoLive! Сердце Деймоса соединяет ваши любимые аспекты Warframe, старые и новые, делая игровой опыт потрясающим. Мы не можем поделиться всеми деталями прямо сейчас, но мы надеемся, что вы присоединитесь к нам 1 августа в 17:00 по Восточному времени, чтобы увидеть демонстрацию обновления!
wrfr.me/hod
Отличный комментарий!