Результаты поиска по запросу «
доставка на мопеде
»
видеогифки гифки полиция мопед
Отличный комментарий!
Лучше плохо ехать, чем хорошо идти. Чуть-чуть фейс не рехтанули об машину
Два мужика стоят на обочине дороги и голосуют. Видят мужик с рулём бежит и около них останавливается.
- Садитесь мужики, до города бесплатно подброшу!
- Да нет мы ещё подождём!
- Вам что, мой КАМАЗ не нравится? И достает пистолет.
- Да нет, отличный КАМАЗ! Мы едем!
И побежали с ним. Добегают до поворота и "водила" им говорит.
-Там за поворотом пост ГАИ, а мне пассажиров брать нельзя. Вы идите вперёд, а после поста я вас подберу.
Те рванули бегом что было сил. Прибегают и описывают инспектору ситуацию. Тот достает автомат, цепляет на фуражку мигалку, берет руль от мотоцикла, заводит воображаемый мотоцикл и говорит.
- Один в седло, второй в люльку, будем брать психа!
Бегут по дороге, гаишник поворачивается к тому что в люльке и говорит.
- Ты чего в люльке стоя едешь, выпасть хочешь? А ну сядь!
Короче бегут втроем, двое нормально, а тот что в люльке в полуприсяде. Через некоторое время тот что в люльке говорит своему другу.
- Бля, лучше бы мы на КАМАЗе с тем придурком доехали!!!
Дио и жизненные коллизии пидоры помогите доставка мотороллер китайцы
Недавно снова был в Китае, там теперь тоже везде доставщики типа нашей яндекс еды. Не то чтоб их раньше не было, но они были без тегов и самоприкрепленные к магазинам и закусочным, а недавно их покрасили и они теперь либо синие либо желтые, в зависимости от приложения в которое участвуют. Между собой стараются не смешиваться, я не уточнял, но видимо какая-то вражда между ними есть. Прикрепляю пару фотографий для пруфа.
Теперь о помощи от пидоров. Пересматривал тут фотографии и заметил что на одной из них электромопеды стоят как в одном известном меме. Нужна помощь рисующих пидоров чтобы изобразить два мопеда в стилистике "Дио и жизненные коллизии".
ну и собственно доставщики крупным планом
![ш» шШЁВ хип ятш» ш gSM Й] 0R Pâ ЯЙUgAgéOggMOOOO (-ьтад> «sei IP! WÊmf Ж0. f g щш ШЧ »J М?Ж4п;Т’* ~ри“ WPS- L/ tt(/ ëB9«ihe1^i iää&,: 1Я 50 • *>*■* . V•. ->*. ■-''^■’'Уъ^ВЛ,Дио и жизненные коллизии,пидоры помогите,реактор помоги,доставка,мотороллер,китайцы](http://img0.joyreactor.cc/pics/post/full/%D0%94%D0%B8%D0%BE-%D0%B8-%D0%B6%D0%B8%D0%B7%D0%BD%D0%B5%D0%BD%D0%BD%D1%8B%D0%B5-%D0%BA%D0%BE%D0%BB%D0%BB%D0%B8%D0%B7%D0%B8%D0%B8-%D0%BF%D0%B8%D0%B4%D0%BE%D1%80%D1%8B-%D0%BF%D0%BE%D0%BC%D0%BE%D0%B3%D0%B8%D1%82%D0%B5-%D0%B4%D0%BE%D1%81%D1%82%D0%B0%D0%B2%D0%BA%D0%B0-%D0%BC%D0%BE%D1%82%D0%BE%D1%80%D0%BE%D0%BB%D0%BB%D0%B5%D1%80-5541960.jpeg "Дио и жизненные коллизии,пидоры помогите,реактор помоги,доставка,мотороллер,китайцы")
дыра уязвимость новости habr длинопост информационная безопасность it мопед не мой Российская федерация копипаста информационная небезопасность
Как я нашел в публичном доступе исходники нескольких сервисов ФНС
Предыстория
Суть приложения «Проверка чеков»
Страница приложения «Проверка чеков» в App Store
Страница входа в Sentry команды Studio TG 
Страница входа в GitLab команды Studio TG 
Публично доступный репозиторий ansible_conf/install_geo 
Содержимое архивов из репозитория ansible_conf/install_geo 
Содержимое папки lkip-web-login, это — исходный код сервиса lkip2.nalog.ru 
uppod-styles.txt на сайте lkip2.nalog.ru 
Содержимое файла .env судя по всему прямиком с боевых серверов В итоге
Как-то так.
Возьмём приложение «Проверка чека» и разберемся что оно делает и зачем ваще кому-то понадобилось проверять чеки с помощью приложения.
Я не помню как это работало раньше, но с 2016-2017 годов, благодаря 54-ФЗ «О применении ККТ» появились некие ОФД с целью «...осуществления операций по приёму, обработке, хранению и передаче фискальных данных в ФНС», а всех кого только можно обязали использовать кассовое оборудование, генерирующее те самые фискальные данные и что немаловажно, обязали эти данные посредством ОФД передавать в ФНС.
Если у вас тоже немного припекает от всех этих аббревиатур, то вот вам терминальная стадия аббревиатуринга в лице названия организации которая отвечает за приложение «Проверка чека» — ФГУП ГНИИВЦ ФНС РФ.
К этому моменту — мы еще вернёмся, кстати.
Прикладной смысл вышеописанного очень лёгко понять на примере сервиса заказа еды.
После заказа вы получаете на почту электронный чек, это и есть те самые фискальные данные. Отправляет их в ваш адрес, однако, не сервис заказа еды, а именно ОФД, которое используется сервисом, в данном случае — Яндекс
Любой подобный чек всегда содержит несколько обязательных идентификаторов в натуральном виде и в виде QR-кода, который можно отсканировать с помощью исследуемого нами приложения «Проверка чека».
В итоге, в приложении «Проверка чека», появляется электронная копия данного чека и тут я хочу обратить ваше внимание на атрибутивный состав кортежа с данными, а именно, на полный и детальный список чего и когда и за сколько денег моя персона приобрела, это — важно.
Но всё бы ничего, если бы не один недавний апдейт данного поделия, который и привёл меня в ужас. До недавних пор приложение оперировало лишь теми данными которые ты сам соизволил туда засунуть путём сканирования QR-кодов и не представляло, ни особого интереса, ни особой угрозы личной безопасности.
Всё изменилось две недели назад после обновления 2.15.0 в рамках которого был выкачен функционал «отображение чеков из сервиса Мои Чеки Онлайн».
История версий приложения «Проверка чека»Обновление 2.15.0
Если пройти аутентификацию в приложении «Проверка чека» указав номер телефона, который вы так же используете в популярных сервисах, например, в Яндекс.Еде, Яндекс.Такси, Самокате, Ситимобиле и других, то в разделе «Мои чеки» автомагически будут отображены все ваши чеки по всем операциям в этих сервисах за «всё время».
В моём случае, это порядка 400 чеков, каждый из которых содержит детальный набор «сколько, за что, когда и куда».
Мне сразу же стало интересно насколько хорошо подобный массив данных защищен и может ли предполагаемый злоумышленник получить несанкционированный доступ к нему.
Для исследования я поставил в разрыв между интернетом и приложением «Проверка чека» простой прокси и записывая сетевую активность приложения потыкал в кнопки.
Довольно быстро выяснилось, что эндпойнт с данными находится по адресу irkkt-mobile.nalog.ru:8888 на котором живёт простейшее приложение на NodeJS с применением фреймворка Express, а механизм аутентификации пользователя пускает тебя к данным, если ты верно указал заголовок «sessionId» значение которого представляет из себя какой-то самопальный токен генерирующийся на стороне сервера.
При этом, если нажать кнопку «Выйти» в приложении «Проверка чека», то как оказалось, инвалидации данного токена не происходит. Так же нет функционала просмотра всех своих сесссий и нет кнопки «Выйти на всех устройствах».
Таким образом даже если вы каким-то образом поняли что токен доступа был скомпрометирован, то нет никакой возможности его сбросить и тем самым гарантировать с этого момента отсутствие у предполагаемого злоумышленника доступа к вашим данным.
Крайне безответственно, но не фатально.
SentryВ процессе просмотра «улова» на промежуточном прокси я обратил внимание, что в случае крэша приложения оно отправляет диагностические данные в Sentry располагающийся по адресу не связанному, ни с ФНС, ни с ФГУП ГНИИВЦ ФНС РФ, а на домен зарегистрированный на физическое лицо — sentry.studiotg.ru.
Рядом сразу же был обнаружен gitlab.studiotg.ru.
Дальнейшее исследование эндпойнта привело к ссылками на публичные репозитории в этом Гитлабе находящиеся в индексе Гугла уже более года.
Содержимое публичных репозиториевзаставило меня биться в истерике.
Пояснение к скриншоту выше: папки содержащие подстроки «lkio», «lkip», «lkul» напрямую относятся к одноименным сервисам ФНС на домене nalog.ru.
Для сверки, что обнаруженные исходники действительно относятся к сервисам ФНС, проведена простая проверка наличия на боевом веб-сервере файла uppod-styles.txt, который не мог там оказаться по случайному совпадению.
Фактический разработчик мобильного приложения «Проверка чека» некая studiotg.ru.
Вероятно есть нарушение соглашений об обработке персональных данных в силу передачи диагностических сведений со стороны ФГУП ГНИИВЦ ФНС РФ в адрес третьих лиц.
Данные ребята так же причастны к разработке сервисов lkip.nalog.ru, lkul.nalog.ru и lkio.nalog.ru.
По их вине исходный код данных сервисов находится в публичном доступе уже около года.
Исходя из общей картины, предположу, что данные о ваших покупках попадающие в ОФД путём информационного обмена фискальными данными с ФНС, на текущий момент, находятся под угрозой утечки.
Отличный комментарий!