копипаста
Подписчиков: 5 Сообщений: 464 Рейтинг постов: 3,037.9дыра уязвимость новости habr длинопост информационная безопасность it мопед не мой Российская федерация копипаста информационная небезопасность
Как я нашел в публичном доступе исходники нескольких сервисов ФНС
Возьмём приложение «Проверка чека» и разберемся что оно делает и зачем ваще кому-то понадобилось проверять чеки с помощью приложения.
Суть приложения «Проверка чеков»Я не помню как это работало раньше, но с 2016-2017 годов, благодаря 54-ФЗ «О применении ККТ» появились некие ОФД с целью «...осуществления операций по приёму, обработке, хранению и передаче фискальных данных в ФНС», а всех кого только можно обязали использовать кассовое оборудование, генерирующее те самые фискальные данные и что немаловажно, обязали эти данные посредством ОФД передавать в ФНС.
Если у вас тоже немного припекает от всех этих аббревиатур, то вот вам терминальная стадия аббревиатуринга в лице названия организации которая отвечает за приложение «Проверка чека» — ФГУП ГНИИВЦ ФНС РФ.
К этому моменту — мы еще вернёмся, кстати.
Страница приложения «Проверка чеков» в App StoreПрикладной смысл вышеописанного очень лёгко понять на примере сервиса заказа еды.
После заказа вы получаете на почту электронный чек, это и есть те самые фискальные данные. Отправляет их в ваш адрес, однако, не сервис заказа еды, а именно ОФД, которое используется сервисом, в данном случае — Яндекс
Любой подобный чек всегда содержит несколько обязательных идентификаторов в натуральном виде и в виде QR-кода, который можно отсканировать с помощью исследуемого нами приложения «Проверка чека».
В итоге, в приложении «Проверка чека», появляется электронная копия данного чека и тут я хочу обратить ваше внимание на атрибутивный состав кортежа с данными, а именно, на полный и детальный список чего и когда и за сколько денег моя персона приобрела, это — важно.
Но всё бы ничего, если бы не один недавний апдейт данного поделия, который и привёл меня в ужас. До недавних пор приложение оперировало лишь теми данными которые ты сам соизволил туда засунуть путём сканирования QR-кодов и не представляло, ни особого интереса, ни особой угрозы личной безопасности.
Всё изменилось две недели назад после обновления 2.15.0 в рамках которого был выкачен функционал «отображение чеков из сервиса Мои Чеки Онлайн».
История версий приложения «Проверка чека»Обновление 2.15.0Если пройти аутентификацию в приложении «Проверка чека» указав номер телефона, который вы так же используете в популярных сервисах, например, в Яндекс.Еде, Яндекс.Такси, Самокате, Ситимобиле и других, то в разделе «Мои чеки» автомагически будут отображены все ваши чеки по всем операциям в этих сервисах за «всё время».
В моём случае, это порядка 400 чеков, каждый из которых содержит детальный набор «сколько, за что, когда и куда».
Мне сразу же стало интересно насколько хорошо подобный массив данных защищен и может ли предполагаемый злоумышленник получить несанкционированный доступ к нему.
Для исследования я поставил в разрыв между интернетом и приложением «Проверка чека» простой прокси и записывая сетевую активность приложения потыкал в кнопки.
Довольно быстро выяснилось, что эндпойнт с данными находится по адресу irkkt-mobile.nalog.ru:8888 на котором живёт простейшее приложение на NodeJS с применением фреймворка Express, а механизм аутентификации пользователя пускает тебя к данным, если ты верно указал заголовок «sessionId» значение которого представляет из себя какой-то самопальный токен генерирующийся на стороне сервера.
При этом, если нажать кнопку «Выйти» в приложении «Проверка чека», то как оказалось, инвалидации данного токена не происходит. Так же нет функционала просмотра всех своих сесссий и нет кнопки «Выйти на всех устройствах».
Таким образом даже если вы каким-то образом поняли что токен доступа был скомпрометирован, то нет никакой возможности его сбросить и тем самым гарантировать с этого момента отсутствие у предполагаемого злоумышленника доступа к вашим данным.
Крайне безответственно, но не фатально.
SentryВ процессе просмотра «улова» на промежуточном прокси я обратил внимание, что в случае крэша приложения оно отправляет диагностические данные в Sentry располагающийся по адресу не связанному, ни с ФНС, ни с ФГУП ГНИИВЦ ФНС РФ, а на домен зарегистрированный на физическое лицо — sentry.studiotg.ru.
Страница входа в Sentry команды Studio TGРядом сразу же был обнаружен gitlab.studiotg.ru.
Страница входа в GitLab команды Studio TGДальнейшее исследование эндпойнта привело к ссылками на публичные репозитории в этом Гитлабе находящиеся в индексе Гугла уже более года.
Содержимое публичных репозиториевзаставило меня биться в истерике.
Публично доступный репозиторий ansible_conf/install_geo Содержимое архивов из репозитория ansible_conf/install_geoПояснение к скриншоту выше: папки содержащие подстроки «lkio», «lkip», «lkul» напрямую относятся к одноименным сервисам ФНС на домене nalog.ru.
Содержимое папки lkip-web-login, это — исходный код сервиса lkip2.nalog.ruДля сверки, что обнаруженные исходники действительно относятся к сервисам ФНС, проведена простая проверка наличия на боевом веб-сервере файла uppod-styles.txt, который не мог там оказаться по случайному совпадению.
uppod-styles.txt на сайте lkip2.nalog.ru Содержимое файла .env судя по всему прямиком с боевых серверов В итогеФактический разработчик мобильного приложения «Проверка чека» некая studiotg.ru.
Вероятно есть нарушение соглашений об обработке персональных данных в силу передачи диагностических сведений со стороны ФГУП ГНИИВЦ ФНС РФ в адрес третьих лиц.
Данные ребята так же причастны к разработке сервисов lkip.nalog.ru, lkul.nalog.ru и lkio.nalog.ru.
По их вине исходный код данных сервисов находится в публичном доступе уже около года.
Исходя из общей картины, предположу, что данные о ваших покупках попадающие в ОФД путём информационного обмена фискальными данными с ФНС, на текущий момент, находятся под угрозой утечки.
Как-то так.копипаста политика
Барин, давай откроем ворота?
- Пахом, мы уже вчера это обсуждали. Ворота открывать нельзя, снаружи печенеги.
- Но мне репу полоть пора.
- Печенеги, Пахом.
- Но у меня там репа не прополота...
- Не до твоей репы сейчас, Пахом! Осадное положение у нас, неуч! Ещё раз за ворота сунешься - высекут!
- Ну ладно. Значит, подати в этом месяце можно не платить?
- С ума сошёл! А казне что, пустовать? Подати чтоб занёс в срок, либо высекут.
- Охти, господи... Ну ладно. Тогда мне скорей на огород надо, пусти!
- Пахом, ты идиот? Двадцатый раз повторяю: за ворота никому нельзя, огороды подождут.
- Но твой-то огород утром пололи, сам видел, целая бригада работала!
- Той бригаде князь пропуска выписал, печенеги пропусков боятся.
- Так почему твой огород можно полоть, а мой - нет?
- Мой огород - системообразующий. Он должен продолжать функционировать, чтоб весь город с голоду не пропал.
- Значит, мне тоже мешок репы с твоего огорода причитается?
- Нет, с чего это мне тебя кормить? Я же в казну подати плачу.
- Аааа, мне казна мешок репы даст?
- Всем горожанам по мешку репы дать - никакой казны не хватит. Будут помогать адресно, только пострадавшим от печенегов.
- А мне-то?
- А ты разве от печенегов пострадал?
- Пострадал, конечно. Репы-то у меня теперь не будет...
- Какой ты циничный, Пахом. Прям противно. "Пострадал" - это когда тебя ранили, либо убили. Люди гибнут, а ты про свою репу...
- Конечно, я про репу! Без неё голодать придётся, загнусь! И чтоб подати в казну занести, мне надо, опять же, репу на базаре продать...
- Тьфу! Ладно, чёрт с тобой. Нытик. В этом месяце подати не плати, в следующем заплатишь вдвое.
- В следующем месяце я вообще ничего не заплачу. Урожай ведь пропадёт, по случаю осады.
- Как знаешь. Но смотри, не заплатишь - высекут!
- Вы что, смерти моей хотите? Тогда чем вы лучше печенегов?
- Зачем так? Мы просто говорим, что ты должен некоторое время посидеть дома. Не работать. Не иметь никакого дохода. Но при этом покупать еду и исправно платить подати. Неужели это так сложно?
- Вообще-то - да, довольно сложно. Не знаю даже, как я без своей репы...
- Короче, надоело тебя убеждать! Ещё раз тему репы поднимешь - высекут, так и знай! А посмеешь ещё раз законные власти города с "печенегами" сравнить - вообще в яме сидеть будешь, за злостный экстремизм. Что за народ у нас? Стадо дикарей. Никакой дисциплины.
Роскосмос проклятие $500 две лошадиные задницы копипаста
Это просто прекрасно, и одновременно грустно, так как почти наверняка - все до последней строчки правдиво. Рассказывает бывший инженер космического центра им. Хруничева Илья Харламов (перепостил тред его из твиттера). Особенно доставляют пункты 27-30. Фото мое, из Байконура.
1. Россия летает на корабле Союз, который делал ещё Королёв (умер в 1966). То новообразование под названием "РФ" не имеет никакого отношения ко всему этому - за 30 лет оно сделало вообще ничего.
2. При Ельцине еле успели достроить советский долгострой "Мир-2" и запустить его как "Российский сегмент МКС". При Путине не сделали вообще ничего нового.
3. Были неплохие проекты - новые корабли Заря/Федерация/Клипер/Паром/Орёл для ракеты "Зенит". РН Зенит всем хороша - кроме одного - она производится нашим злейшим врагом Украиной, поэтому это всё было обречено ещё до Крыма, а теперь и подавно.
4. В 2003 году я пришёл на Завод Хруничева в надежде поднимать Российский Космос...
5. На Хруничева мне предложили зарплату космического инженера около $100, притом что в McDonalds через дорогу полотёру туалетов предлагали $250.
6. Есть так называемое "Проклятие пятиста долларов". В начале 2000х российскую космонавтику могли спасти $500 зарплаты. Теперь её уже не спасёт ничего, и проблема уже не в деньгах. Почитайте отзывы о работе там.
7. Особо патриотичные граждане, наверное думают что раз у нас был Гагарин, то Россия теперь на почетном втором месте по космосу. Так вот, в 2012 году с нефтью $150 мы планировали войти в тройку космических держав к 2030-му.
8. Пятерка в 2030 по космосу будет примерно такой:
1) США
2) Китай
3) ЕС
4) Япония
5) Индия
Мы будем соревноваться с Бразилией и Израилем, но никак не с ведущими странами (2030 - это очень скоро, у Путина даже текущий президентский срок еще не кончится).
9. Какой сейчас самый главный проект у Роскосмоса? Правильно - строительство 200-метрового офиса в виде Ракеты с торговым центром, квартирами и канатной дорогой.
10. Когда начиналась МКС - это был совместный проект: Наши иногда летали на шаттлах, Американцы иногда на Союзах. В 2003 произошла трагедия - катастрофа шаттла "Колумбия". Что сделал Роскосмос? Увеличил ценник на провоз американцев с 20 млн до 70 млн $.
11. Руководитель Роскосмоса Рогозин, по образованию - журналист, а по поведению - пресс-секретарь. Я бы ему даже гаечные ключи подавать не доверил.
12. Часто приходится слышать - "мы запустили Гагарина, мы запустили Мир, Буран и т.д.". Кто - мы? Это была другая страна, совместная работа 15 республик, с другим образованием, с другой экономической системой, другим управлением, другой военной приемкой - всё другое.
13. В 2001-2002 тот самый Элон Маск несколько раз приезжал в РФ покупать списанные по программе разоружений ракеты Р-36 (кстати производства украинский Южмаш, г. Днепр). Предлагал совместные предприятия...
14. ..по официальной нашей версии - он всё врет и не приезжал. По неофициальной - генералы прослышали что он вышел в кэш после продажи PayPal и хотели слишком большую часть себе «на лапу»...
15. Ракеты, потом, конечно, утилизировали. Но зато Маск понял, что если такие дебилы могут делать ракеты, то он может попробовать тоже.
16. "Если бы у нас был свой Илон Маск, он бы ещё за PayPal срок мотал". В России тоже были частные, молодые, не связанные с государством космические компании - Даурия Аэроспейс, Лин Индастриал и другие. Вы уже, наверное, догадываетесь, что было дальше..
17. Зарплаты 2020. "Проклятие $500" всё-таки так и не отпустило за 20 лет. Но есть и достижения - инженер получает больше повара на целых 2000 рублей!
18. Те же зарплаты SpaceX - это примерно от 800 тыс до 1 млн рублей в месяц.
19. Зарплата директора NASA $232K - примерно в полтора раза выше зарплаты инженера.
20. Зарплата Рогозина - $450K - примерно в 2 раза выше чем директора NASA и примерно в 120 раз выше зарплаты Российского инженера.
21. Кто увлекается просмотром «1 канала» и прочими психотропными веществами, знает как «Американцы покупают лучшие в мире русские двигатели РД-180». Что мы как бы делаем милость и продаём недалёким америкосам превосходные образцы российской техники...
22. ... РД-180 - это половинка РД-170 от Буран/Энергия (начало работ - 1976г). Создан в Ельцинские годы в рамках Ам-Рос сотрудничества. У Американцев есть вся документация и права на этот двигатель, и они могут его делать у себя, но почему-то не хотят, и вы скоро узнаете почему...
23. РД-170/180 - шедевр советского технического искусства 80-х. Как любой шедевр, он очень капризный и дорогой. Например, любая частичка кожи человека внутри вызывает пожар и взрыв.Он дорогой даже для Американцев, а для нашего бюджета он просто неподъемен.
24. То есть в Ельцинские годы, на Американские деньги РФ распилила пополам советский двигатель, продаёт за полцены от себестоимости, гордится этим, но в то же время грозит Америке, что перестанет. Что с это всё значит - уже, наверное, не понимают ни они ни мы.
25. Одной из самых сложных и нерешаемых технических проблем в космонавтике РФ является... наследие царского режима. Без шуток...
26. ...когда Байконур остался в Казахстане, Новой России нужен был Новый Космодром. Где его построить думали долго, было много вариантов, проектировали лет 15, руководители приходили, увольнялись, получали премии. Наконец, придумали, нашли место, и ударно построили, ну вы помните...
27. ...внезапно оказалось, что заводы, которые могут изготовить ракету, находятся либо в европейской части России, либо на дальнем востоке, а Новый Космодром «Восточный» соединён с заводами только туннелями транссиба эпохи царя Николая II...
28. ... т.е. невозможно доставить на космодром ракету диаметром больше чем царские туннели, она физически не влезает. Туннелей постройки 1890-1915 годов тысячи километров и расширить их не по карману было даже СССР...
29. ...Американцы возят ракеты по рекам, океану или по знаменитым американским хайвеям. И с океаном и с хайвеями у нас проблемы...
30. Новый марсианский корабль Илона Маска- 9м. Новая лунная ракета Китая - диаметр 10м. Нам же нужно уместить ракету в такой габарит (3.9м) и точка. Ракета Союз (1957г) туда умещается, но с Китаем и США мы физически не можем конкурировать на «Восточном». Ещё один космодром строить ?
копипаста смехуечки зомбиапокалипсис
Отличный комментарий!
сказал, что это едва ли не самый эффективный способ спасти себе жизнь и возможно зрение не успеет пострадать
ps4 sony вдоль ПК копипаста
На Amazon появились ПК-версии эксклюзивов PlayStation: Days Gone, Gran Turismo Sport и The Last of Us: Part 2
Во французской версии онлайн-магазина Amazon нашлись страницы пяти нынешних эксклюзивов PlayStation 4, на которых указано, что они станут доступны на платформе Windows.В числе указанных проектов Days Gone, Gran Turismo Sport, The Last of Us: Part 2, Uncharted: The Nathan Drake Collection и Persona 5 Royal. А если учесть, что в коллекции Натана Дрейка не одна, а три игры, то выходит целых семь игр.
Новость быстро распространилась в Сети, поэтому выход перечисленных выше проектов на ПК сначала опровергла Sony, которые, правда, сказали, что информация на сайте не верна и они не делали официальных заявлений. Но деталей не сообщили.
Компания Sega, которой принадлежит Persona 5 также рассказала об ошибке на сайте, который просто хочет привлечь внимание игроков.
Сразу двух опровержений, казалось бы, вполне достаточно, но стоит вспомнить, что таким же образом в начале года на сайте Amazon появилась страница Horizon Zero Dawn с указанием выхода на ПК. Потом это опровергали, а в конце-концов сделали официальное заявление о портировании бывшего эксклюзива на Windows.
Источник: https://www.overclockers.ua/news/games/2020-04-16/126656/
joyreactor реактор клон копипаста
Хмм..
Наткнулся случайно на сайтец в интернетах, который копипастит контент с реактора. Это ок?Клон
https://comiczone.ru/postcontainer4162875/
Неповторимый оригинал
http://joyreactor.cc/post/4162875
фейсбук копипаста Буквы на белом фоне
Папа Зины Кашиной сразу написал: «Мудро!»
Мама Антоши Седого прокомментировала: «Великие слова!» и в доказательство три глубокомысленные рожицы поставила.
Мама Риты просто палец вверх прислала.
Там в чате долго все одобряли, у меня в кармане телефон пиликал, я его каждый раз доставала, потому что я от любимого ждала смс. (Он так и не написал, поэтому и речь больше не о нем)
В общем бесили меня все родители своими:
«Мы много времени уделяли своей внешности и сравнивали себя с другими, поэтому болезнь закрыла наши лица масками, чтобы мы поняли, что нашей красоты там нет!»
«Я только недавно осознала сколько времени мы проводим в торговых центрах и вот Господь закрыл нам центры, чтобы знали, что покупки - не главное!»
И тут вдруг мама Глафиры Сулеймановой маме Костика отвечает, что она, например, и без того чтит всех кого положено, и вот ей-то это за что? У нее чебуречная из-за вируса закрылась, а оказывается вот кто виноват – те, кому гордыня затмила разум! Мама Костика стало быть.
Мама Костика на это сильно возмутилась, и пишет, что это она не про себя вовсе эти мудрые слова перепащивала, а про в принципе «всех НАС», метафорически.
Потому что она-то сама как раз что надо человек и ни какие заповеди не нарушала.
А папа Зины Кашиной, тоже сразу написал что-то про бабушку, которую он недавно подвез забесплатно.
А мама Антоши прислала фотографию, где она, Антоша и три их кота с улицы – «А могли бы купить породистых, но мы не такие».
Мама Кости еще сразу вспомнила, как она макулатуру приносила в школу и всех учителей с 8 марта поздравляла, так что не надо тут.
А мама Глафиры не унялась, а предложила все же разобраться из-за кого ниспослан вирус. Прям говорит, давайте выявим сволочь и пусть отвечает перед Господом за все.
И оказалось, что в нашем классе нет ни одного плохого человека. Все отличные. И думают только о других, и помогают всем кто под руку подвернется, и сперва кто-то, а только потом они. И детей своих так же воспитывают.
И тогда мама Глафиры Сульймановой написала:
«А раз вы все такие хорошие, то больше не пишите эту хуйню в чат.»
Как только снимут карантин я сразу к ней чебуречную пойду.
Отличный комментарий!