копипаста / прикольные картинки, мемы, смешные комиксы, гифки - интересные посты на JoyReactor / новые посты

Аноним 31/05/24 Птн 04:47:08 №305280420

Расскажу о своём первом смешном пребывании в дурке эдак года 2 назад. Заселили меня в 4-х местный люкс-номер, на тот момент ни желания, ни сил разговаривать с кем-либо не было, если пытался заговорить была вероятность тупо зарыдать. Но один параноидальный шизофреник, которого мы начали называть Безумный Макс (как выяснилось на вторую ходку туда, у него появилась шиза от мефа), почему-то решил, что я - неплохой кандидат на дружбу, поэтому периодически ко мне подходил с чем-либо, то хлеб с маслом давал, потому что я не ел, то рисунки приносил. Как-то раз, он ко мне подошёл, встал перед кроватью и, улыбаясь, спросил - "А чего ты боишься?)))". Я сказал "Ну пауков", в надежде, что он съебётся побыстрее и на этом закончится. Через минут 5 он приносит мне рисунок (1). Дальнейший диалог:

- Боишься?)) - Да.

А знаешь почему?))

- Потому что там паук.

- Нет)))). Потому что там пиздааа)))))

указывает на правый элемент сие

произведения, нарисованный карандашом - Ты испугался пиздыыы)))))) После этого я лежу в ахуе, а он стоит, ударяет по листку и смеётся на весь пост, санитар подошёл и выпроводил его нахуй из палаты. В следующие разы он и приносил рисунок, уговаривая меня его купить за 10р, и уговаривал меня нарисовать что-нибудь.

А теперь отступление. Само отделение было самым лайтовым и для дурки довольно хорошим. Из соседей по палате:

1) Лёня - человек, выглядящий на лет 30, а по факту ему 19. Шизофреник, которого, по его словам, довели его одноклассники, а родители каждые месяца 3-4 забрасывают его в дурку. В тот раз он попал, как я понял, из-за того что не мог спать около месяца.

2) Олег (имя выдумано, даже не помню) - студент, попавший из-за пореза вдоль вены. Пишет гейские фанфики. Есть батя с, видимо, сатириазисом (всегда дрочит, об этом дальше).

3) Алег (ну е помню, ну и чё) - не помню даже почему попал.

У Безумного Макса начались бзики, после того как он начал общаться с Лёней. То в палате выльет 5л бутылку воды и с тумбочек всё выкинет, то просто себя как безумный начнёт вести. И вот день Х. Мы втроём, я, Олег и Алег, сидим в палате и обсуждаем отца Олега, который чрезмерно часто дрочит и вообще похуй где (на работе, будучи охранником поста. Дома на кухне в 7 утра. В примерочных в магазинах и тд.). А прикол в том, что буквально за стенкой лежит Безумный Макс, и всё слышит. Через час активного обсуждения о том, как Олег заебался видеть батин хуй, выходим за таблетками. Стоим в очереди на выдачу пилюль, и тут меня трогают за плечо и указывают на Макса. И что он делает? ДРОЧИТ В ХОЛЛЕ И СМОТРИТ МУЛЬТИКИ. То самое место (2). Напротив диванчика был телевизор, по которому шли мульты, а на самом месте сидел Безумный Макс, со спущенными штанами и наяривал, пустотно смотря в сторону телевизора. Дальше медсестра выбегает к нему, подходит вплотную и спрашивает - "Ты нормальный вообще?!". Я потухаю с вопроса. Дальше Безумный Макс как ни в чём не бывало встаёт, натягивает штаны, и уходит в свою палату. На следующий день, по словам Алега, он наблюдал такую картину. Безумный Макс говорит сесть Лёне ему на коленки. Макс приподнимает футболку, и говорит - "Красивее меня ты не найдёшь…". Ещё через день у Макса совсем поехала кукуха, он начал хавать землю и листья, у него случился припадок, его привязали к кровати, он

обоссался, и знаете что? Он обоссался, сука, специально), (а потом его перевели в другое отделение для ебанутых D:). Это уже на вторую ходку выяснилось, вообще много чего выяснилось на второй раз, через человека, который с Лёней и Максом начал общаться ИРЛ. Вот некоторые микро-моменты:

1) Безумный Макс после выписки почти сразу пробежал по ТЦ в одних трусах.

2) Он же на тусовках то в рот тянке ссал, то

на

мужика кончал.

3) Они с Лёней по дс общались, и кто-то из них предложил голым станцевать за деньги, этот

кто-то станцевал, но его наебали и ничего не

заплатили)).

4) Макс специально ссался под себя, чтобы его отвязали. На вопрос - "Ты же понимаешь, что тебя наоборот не отвяжут из-за этого?", он отвечал "Да похуй" и продолжал.

В общем, дурка весело, только суки мне справку выдали на женский род. "ВыписанА", "ПроходилА лечение" и тд. Ну, хотя в их оправдание, тогда я реально тем ещё трапом был, от солевой альтушки не отличишь. Зато выписался 14 февраля, самый лучший день Валентина, который может быть.

Как я нашел в публичном доступе исходники нескольких сервисов ФНС

Предыстория

Возьмём приложение «Проверка чека» и разберемся что оно делает и зачем ваще кому-то понадобилось проверять чеки с помощью приложения.

ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА
Хранение чеков в одном месте
Мои чеки — §
М ООО "Максидом' В
232,60 Р 29.06 2020 Пол>**м
ЖО Аптека ИП Жукова О.Н. О
518,50 Р 3006 2020 С жалобой
М ООО "МВМ" О
2 990 Р 0607.2020 С жалобой
<Ф ООО <ОБИ ФЦ> О
961,40 Р 09072020 С жалобой
ДИ ООО "ДОМАШНИЙ

Суть приложения «Проверка чеков»

Я не помню как это работало раньше, но с 2016-2017 годов, благодаря 54-ФЗ «О применении ККТ» появились некие ОФД с целью «...осуществления операций по приёму, обработке, хранению и передаче фискальных данных в ФНС», а всех кого только можно обязали использовать кассовое оборудование, генерирующее те самые фискальные данные и что немаловажно, обязали эти данные посредством ОФД передавать в ФНС.

Если у вас тоже немного припекает от всех этих аббревиатур, то вот вам терминальная стадия аббревиатуринга в лице названия организации которая отвечает за приложение «Проверка чека» — ФГУП ГНИИВЦ ФНС РФ.

К этому моменту — мы еще вернёмся, кстати.

Проверка чеков ФНС России («3
ФГУП ГНИВЦ ФНС России
Покупки: № 143 в этой категории
★ ★ ★ ★ ★ 4,8 • Оценок: 608
Бесплатно,информационная небезопасность,дыра,уязвимость,новости,habrahabr,длинопост,информационная безопасность,it,мопед не мой,habr,Российская федерация,страны,копипаста

Страница приложения «Проверка чеков» в App Store

Прикладной смысл вышеописанного очень лёгко понять на примере сервиса заказа еды.

После заказа вы получаете на почту электронный чек, это и есть те самые фискальные данные. Отправляет их в ваш адрес, однако, не сервис заказа еды, а именно ОФД, которое используется сервисом, в данном случае — Яндекс

Яндекс ОФД
кассовый чек / приход 19.03.2021 23:28
Общество с ограниченной ответственностью "ЯНДЕКС.ЕДА"
https://eda.yandex.ru
127410, Москва г, Алтуфьевское ш 9, дом № ЗЗГ
ИНН 9705114405
Налогообложение ОСН
№ Наименование Сумма
1. Сэндвич Сабвэй Мелт 354.00Р х 2 = 708.00Р
Сумма с НДС 0%

Любой подобный чек всегда содержит несколько обязательных идентификаторов в натуральном виде и в виде QR-кода, который можно отсканировать с помощью исследуемого нами приложения «Проверка чека».

18Ю5
.11 К>
уЗ ПРОВЕРКА ЧЕКА сейчас
ФНС. Проверка чека
Чек на сумму 1378.00 р. получен
Торговая точка ООО "ЯНДЕКС.ЕДА"
Дата и время покупки 19.03.2021 23:28
1. Сэндвич Сабвэй Мелт 354,00 9 2 шт 708,00 Р
2. Сэндвич Итальянский Бмт 335,00 9 1 шт 335,00 Р
3. Сэндвич Острый Итальянский 335,00

В итоге, в приложении «Проверка чека», появляется электронная копия данного чека и тут я хочу обратить ваше внимание на атрибутивный состав кортежа с данными, а именно, на полный и детальный список чего и когда и за сколько денег моя персона приобрела, это — важно.

Но всё бы ничего, если бы не один недавний апдейт данного поделия, который и привёл меня в ужас. До недавних пор приложение оперировало лишь теми данными которые ты сам соизволил туда засунуть путём сканирования QR-кодов и не представляло, ни особого интереса, ни особой угрозы личной безопасности.

Всё изменилось две недели назад после обновления 2.15.0 в рамках которого был выкачен функционал «отображение чеков из сервиса Мои Чеки Онлайн».

История версий приложения «Проверка чека»Обновление 2.15.0

ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА

Авторизация любым удобным
способом

Добро пожаловать!
Авторизуйтесь, чтобы продолжить
Номер телефона
Личный кабинет налогоплательщика Портал Госуслуг,информационная небезопасность,дыра,уязвимость,новости,habrahabr,длинопост,информационная безопасность,it,мопед

Если пройти аутентификацию в приложении «Проверка чека» указав номер телефона, который вы так же используете в популярных сервисах, например, в Яндекс.Еде, Яндекс.Такси, Самокате, Ситимобиле и других, то в разделе «Мои чеки» автомагически будут отображены все ваши чеки по всем операциям в этих сервисах за «всё время».

В моём случае, это порядка 400 чеков, каждый из которых содержит детальный набор «сколько, за что, когда и куда».

18Ю6
,.|| ДО
Мои чеки ” §
Я ООО "ЯНДЕКС.ТАКСИ"
Сумма Дата Статус
1 378 Р 22.02.2021 Получен
Я ООО "ЯНДЕКС.ЕДА"
Сумма Дата Статус
1 378 Р 19.03.2021 Получен
УР ООО "УМНЫЙ РИТЕЙЛ"
Сумма Дата Статус
1 161 Р 23.02.2021 Получен
УР ООО "УМНЫЙ РИТЕЙЛ"
Сумма Дата Статус
1153 Р 11.01.2021

Мне сразу же стало интересно насколько хорошо подобный массив данных защищен и может ли предполагаемый злоумышленник получить несанкционированный доступ к нему.

Для исследования я поставил в разрыв между интернетом и приложением «Проверка чека» простой прокси и записывая сетевую активность приложения потыкал в кнопки.

Довольно быстро выяснилось, что эндпойнт с данными находится по адресу irkkt-mobile.nalog.ru:8888 на котором живёт простейшее приложение на NodeJS с применением фреймворка Express, а механизм аутентификации пользователя пускает тебя к данным, если ты верно указал заголовок «sessionId» значение которого представляет из себя какой-то самопальный токен генерирующийся на стороне сервера.

При этом, если нажать кнопку «Выйти» в приложении «Проверка чека», то как оказалось, инвалидации данного токена не происходит. Так же нет функционала просмотра всех своих сесссий и нет кнопки «Выйти на всех устройствах».

Таким образом даже если вы каким-то образом поняли что токен доступа был скомпрометирован, то нет никакой возможности его сбросить и тем самым гарантировать с этого момента отсутствие у предполагаемого злоумышленника доступа к вашим данным.

Крайне безответственно, но не фатально.

Sentry

В процессе просмотра «улова» на промежуточном прокси я обратил внимание, что в случае крэша приложения оно отправляет диагностические данные в Sentry располагающийся по адресу не связанному, ни с ФНС, ни с ФГУП ГНИИВЦ ФНС РФ, а на домен зарегистрированный на физическое лицо — sentry.studiotg.ru.

Studio TG
Sign in with your Gitlab account to continue.
Login with Gitlab,информационная небезопасность,дыра,уязвимость,новости,habrahabr,длинопост,информационная безопасность,it,мопед не мой,habr,Российская федерация,страны,копипаста

Страница входа в Sentry команды Studio TG

Рядом сразу же был обнаружен gitlab.studiotg.ru.

V
GitLab
A complete DevOps platform
GitLab is a single application for the entire software development lifecycle. From project planning and source code management to CI/CD, monitoring, and security.
This is a self-managed instance of GitLab.
Remember me,информационная небезопасность,дыра

Страница входа в GitLab команды Studio TG

Дальнейшее исследование эндпойнта привело к ссылками на публичные репозитории в этом Гитлабе находящиеся в индексе Гугла уже более года.

Google
site:gitlab.studiotg.ru
X
Q.
Q Все (3 Картинки (Ц) Новости <•) Покупки ф Карты ; Ещё Настройки Инструменты Результатов: примерно 1180 (0,35 сек.)
Ссыпки Google
Попробуйте Google Search Console
www.google.com/webmasters/
Вы являетесь владельцем gitlab.studlotg.ru? Получите данные

Содержимое публичных репозиториевзаставило меня биться в истерике.

-» G Л
0 A https://gitlab.studiotg.rU/smarkin/ansible_conf/-/tree/master/install_geo
St* GitLab Projects Groups Snippets Help A Ansible_conf
Hr Project overview 0 Repository Files
Commits
Branches
Tags
Contributors
Graph
Compare
D Issues o
I4! Merge Requests 0
Cl /CD
<$> Operations 0

Публично доступный репозиторий ansible_conf/install_geo

■ instalLgeo ft ansible.cfg ft hosts.txt ft install_crypto.retry ft install_crypto.yml ft install_geo.retry ft install_geo.yml ft instalLsoft.retry ft ¡nstall_soft.yml v ■ soft
ED .gitignore > ■ config ft config.zip D CROSS.cer ft httpd.conf S license B Iinux-amd64.tgz
> ■ LK3LK3.000
> ■

Содержимое архивов из репозитория ansible_conf/install_geo

Пояснение к скриншоту выше: папки содержащие подстроки «lkio», «lkip», «lkul» напрямую относятся к одноименным сервисам ФНС на домене nalog.ru.

— lkio.nalog.ru

— lkip.nalog.ru

— lkul.nalog.ru

Имя
^ Дата изменения
Размер
Тип
to env
■ app
to .htaccess
> ■ config
> ■ fake
> ■ migrations
> ■ resources
> ■ soap
> ■ storage
> ■ template
> ■ xsd
to console.php to install to portal-install
■ src
> ■ Api
to ApplicationVersions.php
> ■ Console
> ■ Events
> ■ Library >■ Web
■

Содержимое папки lkip-web-login, это — исходный код сервиса lkip2.nalog.ru

Для сверки, что обнаруженные исходники действительно относятся к сервисам ФНС, проведена простая проверка наличия на боевом веб-сервере файла uppod-styles.txt, который не мог там оказаться по случайному совпадению.

¡(SJ https://lkip2.nalog.ru/uppod-i X +
<- -> C i Ik¡p2.nalog.ru/uppod-styles.txt

uppod-styles.txt на сайте lkip2.nalog.ru

Имя Дата изменения Размер Тип
В env 11 июня 2019 г., 13:21 2 КБ Документ
B .htaccess
> ■ config
> ■ fake
> H migrations
> ■ resources
> B soap
> ■ storage
> B template
> B xsd
i console.php B install B portal-install v B src
> B Api
B ApplicationVersions.php
> B Console
> B Events
>

Содержимое файла .env судя по всему прямиком с боевых серверов В итоге

Фактический разработчик мобильного приложения «Проверка чека» некая studiotg.ru.

Вероятно есть нарушение соглашений об обработке персональных данных в силу передачи диагностических сведений со стороны ФГУП ГНИИВЦ ФНС РФ в адрес третьих лиц.

Данные ребята так же причастны к разработке сервисов lkip.nalog.ru, lkul.nalog.ru и lkio.nalog.ru.

По их вине исходный код данных сервисов находится в публичном доступе уже около года.

Исходя из общей картины, предположу, что данные о ваших покупках попадающие в ОФД путём информационного обмена фискальными данными с ФНС, на текущий момент, находятся под угрозой утечки.

,информационная небезопасность,дыра,уязвимость,новости,habrahabr,длинопост,информационная безопасность,it,мопед не мой,habr,Российская федерация,страны,копипаста

Как-то так.

копипаста

Как я нашел в публичном доступе исходники нескольких сервисов ФНС

Отличный комментарий!