July 19, 2020

Анализ защиты корпоративных данных на примере ПО 1С Бухгалтерия для Узбекистан (VENKON) или как ВЕНКОН собирает информацию у своих клиентов

Маленькое предисловие

Я программист 1С. Стаж работы более 10 лет.

Теперь о разработчике. VENKON GROUP. Аттестованный франчайзи и региональные дистрибьютор фирмы "". Также является разработчиком конфигурации 1С Бухгалтерия для Узбекистана. Версии конфигурации: 1.3, 2.0 и 3.0.

Didox - Сервис электронный документооборот от компании VENKON GROUP.

Clobus - Облачный сервис для ведение бухгалтерского учета на 1С от компании VENKON GROUP.

VENKON DIGITAL - SMM, PR и рекламная агентство от компании VENKON GROUP.

Поиск халявы. Как все началось

В конфигурации 1С Бухгалтерия для Узбекистана, есть такая функция - поиск контрагента по ИНН.

Как это функция работает? Пользователь вводить ИНН организации и нажимает кнопку "Заполнить по ИНН". Конфигурация отправляет запрос на сайт разработчика конфигурации, а тот обратно отправляет данные от своего сервера, где информацию получает от сервера ГНИ.

Автоматический заполняется не только стандартные реквизиты контрагента, но и адреса организации тоже. Очень удобно использовать на работе, когда нету информации организации. Особенно стало удобно, когда заполняется код по НДС.

Что бы работала это функцию, конфигурация должно быть лицензионным. Кроме лицензионных конфигурации на рынке, есть еще и нелицензионные и самописные конфигурации. Именно для второго нужно было подключить эту функцию. Для этого я стал ковирят код программы и анализировать трафик. Для анализа и сбора трафик мне понадобилось ПО Wareshark.

Анализ трафика

Сервер венкона находиться по IP 185.183.243.146. Я поставил фильтр на этот адрес и по протоколу http. Потом начал захват трафика и вызвал функцию из программы 1С "Заполнить по ИНН". Вот что получилось:

Как видно из скриншота, обмен данными по протоколу http идет 6 раз. Первый запрос исходить от пользователя на сайт венкона для получение информации о лицензии. В ответ сервер отправляет xml файл для заполнение общих информации.

В ответ 1С заполняет все данные, который просить сервер и отправляет xml ответ, а именно:

  1. Параметры регистрации:
    GUID, регистрационный код, количество запусков, количество лицензий, код партнера, ключ конфигурации, дата установки, срок действия ключа, версия защиты, пин код и другие.
  2. Системные информации:
    Версия ОС, версия приложения, идентификатор клиента, процессор, имя компьютера, строка соединения информационной базы
  3. Версия конфигурации
  4. И в конце сам ИНН, который нужно определить контрагента.

4 ответ приходить от сервера. Тоже виде xml файла. Вот тут и становиться интересно.

Если посмотреть полного ответа сервера, то можно заметить что внутри ответа отправляет выполнить дополнительный запрос и потом данные контрагента по ИНН.

Так что же этот код выполняет тайно от пользователя? Я сделал внешнюю обработку, который визуально показывает что выполняет код.

После выполнение кода я получил ответ: код собирает количество реализации и счет фактур по разрезу организации, которые ведут учет в ИБ и по месяцу. Так как это демонстрационная база, я выполнил обработку на своей реальной базе.

Вы сами сможете скачать эту обработку и проверит на своем базе.

Увидев такое, я уже знал почему ВЕНКОН тайно собирает информацию про счет фактур. Это делается для сервиса ЭДО от ВЕНКОНа - didox.uz

Ответ кода тоже собирается в xml файл и отправляется на сервер ВЕНКОНа.

Все xml файлы можно посмотреть вот тут.

Законно ли все это собирать?

После я начал искать договор ВЕНКОНа и нашел сразу 2 договора на их сайте.

  1. Договор на поставку
  2. Договор на ИТС

Ни в договоре на поставку, ни в договоре ИТС не указано что разработчик может собирать тайно корпоративную информацию для улучшение или продвижение своих услуг.

Первые мои исследования проводились в начале марта 2020 года. Тогда я думал что это временная мера и когда сервис ЭДО от ВЕНКОНа начнет полноценно работать, тогда разработчик прекратить собирать информации. На сегодняшний день, а это 19 июля 2020 года, информация все еще продолжается собираться. Что бы всё было ясно, записал и на видео, где все отчетливо видно.

Выводы

Исходя из текущий ситуации, можно предположить что сбор информации собирается и на самом сервисе DIDOX. Там уже можно не только количество счет-фактур собирать, но и реальную клиентскую базу можно собирать. При этом, что бы заманит клиентов, сервис сделал отправку первые 1 000 счет-фактур бесплатным. Я не удивлюсь,если однажды вашему клиенту позвонят из рекламной фирмы VENKON DIGITAL и предложат более выгодные цены чем Вы.

И считаю что ГНИ сделала ошибку, предоставив частным фирмам предоставлять услуги ЭДО. Я понимаю, что это было сделано ради деньги, ради поддержки серверов и персонала, но думаю что налогоплательщики тоже платят не маленькие налоги.

Сделают ли что то правоохранительные органы или Министерство по развитию информационных технологий и коммуникаций Республики Узбекистан мне не понятно. В крайнем случаи отмажутся как Министерство здравоохранения на фоне пандемии.

И не ясно как отреагирует на это сама фирма 1С.

ИТОГО

Бесплатный сыр только в мышеловке.

Уважаемы пользователи! А Вы готовы предоставлять такие данные своему разработчику? Готовы ли инвесторы предоставлять свои данные 3 лицам? И сколько же информации накопилось за это время на сервере ВЕНКОНА, который устанавливает почти во всех организациях республики 1С?

Таким же методом можно собирать любую информацию из ИБ клиента.

И не надо делать выводы что и другие разработчики 1С тоже собирают данные. Это не так.

PS

После того, как я эту статья опубликовал и отправил 4 блогерам, ответил всего 1 из них. Это было 2 часа ночи. Утром ВЕНКОН сделал заявления и стало ясно, как у нас блогеры работают