1C Ўзбекистон Бухгалтерияси (VENKON) дастурида корпоратив маълумотнинг ҳимоялаш таҳлили, ёхуд қандай қилиб ВЕНКОН ўзининг мижозларидан маълумотларни йиғмоқда

Кичик сўзбози

Мен 1С дастурчиман. Иш тажрибам 10 йилдан ортиқ.

Энди дастучи ҳақида. VENKON GROUP. 1С фирмасининг аттестацияланган франчайзи ва регионал дистрибютери. Ундан ташқари Ўзбекистон Бухгалтерияси учун 1С конфигурация яратувчиси. Конфигурациялар версиялари: 1.3, 2.0 ва 3.0

Didox - VENKON GROUP нинг электрон ҳужжат айланиши учун хизмат қиладиган сервис

Clobus - VENKON GROUP дан бухгалтерия ҳисоботини булутли технология асосида олиб бориш учун 1С хизмати

VENKON DIGITAL - VENKON GROUP дан SMM, PR ва реклама агентлиги

Текин сирни қидириш. Ҳаммаси қандай бошланди

1С Ўзбекистон Бухгалтериясида контрагентларни СТИР орқали қидириш функцияси мавжуд.

Ушбу функция қандай ишлайди. Фойдаланувчи ташкилотнинг СТИРи киритади ва "Заполнить по ИНН" тугмасини босади. Конфигурация маълумотни дастурчи сайтига юборади. Ўз навбатида дастурчи сервери фойдаланувчига маълумотни ДСИ серверидан олиб юборади.

Автоматик тарзда контрагентнинг нафақат стандарт маълумотларини, балки манзилларининг ҳам тўлдиради. Иш жараёнида ташкилт ҳақида маълумот бўлмаган пайтда жуда қўл келади. Айниқса ҚҚС кодини тўлдириш қулай бўлди.

Ушбу функция ишлаши учун конфигурация лицензион бўлиши керак. Бозорда лицензион конфигурациялардан ташқари, лицензияси бўлмаган ва қўлган ёзилган конфигурациялар ҳам мавжуд. Айнан иккинчи турдаги конфигурациялар учун ушбу функцияни улаш керак эди. Бунинг учун мен дастурнинг кодини ва трафигини таҳлил қилишни бошладим. Трафикни йиғиш ва таҳлил қилиш учун мен Wareshark дастуридан фойдаландим.

Трафикни таҳлил қилиш

Венконнинг сервери 185.183.243.146 IP манзилида жойлашган. Мен ушбу IP манзил учун ва http протоколи учун фильтр ўрнатдим. Сўнгра трафикни йиғишни бошладим ва 1С дастуридан "Заполнить по ИНН" функциясини чақирдим. Натижаси мана бундай бўлди:

Скриншотдан кўриниб турибдики, http протоколу бўйича 6 маротаба маълумот алмашган. Биринчи сўров фойдаланувчи томонидан венкон сайтига лицензия ҳақида ҳақида бўлади. Бунга жавобан сервер умумий маълумотларни тўплаш учун xml файл кўринишдаги шаблон юборади.

Бунга жавобан 1С сўралган барча маълумотларни тўлдириб уни xml файл кўринишида қайта юборади. Бу маълумотлар:

1. Регистрация параметрлари:
   GUID, регистрация коди, ишга туширилган миқдори, лицензиялар сони, партнер коди, конфигурация калити, ўрнатилган санаси, калитнинг амал қилиш муддати, ҳимоя тизимининг версияси, пин код ва бошқалар.
2. Тизим маълумотномалари:
   ОТ нинг версияси, регистрация коди, мижоз идентификатори, процессор, компьютер номи, маълумот базаси уланганнинг йўли
3. Конфигуарция версияси
4. Ва охирида, аниқлаш керак бўлган ташкилотнинг СТИР.

4чи жавоб сервердан келади ва у ҳам xml файл кўринишда бўлади. Ва мана шу ери қизиқ бўлади.

Агар сервернинг тўлиқ жавоби кўрилса, жавоб ичида фойдаланувчига қўшимча сўров бажарилиши юборилади ва ундан кейин сўралган контрагентнинг СТИР бўйича маълумотлари юборилади.

Хоп, ушбу код фойдаланувчидан яширин қандай амални бажарар экан? Мен ушбу кодни нима бажаришини текшириш учун ташқи обработка ёздим.

Ушбу кодни бажаргандан сўнг саволга жавоб топилди: код информацион базада ҳар бир ташкилот кесимида амалга оширилган реализация ва берилган счет-фактураларнинг сонини ойма ой аниқлаштиради. Ушбу база демо база бўлгани учун, мен ушбу обработкани ўзимнинг реал базамда ишлатиб кўрдим.

Сиз ҳам ўзингиз ушбу обработкани юклаб олиб ўзингизни базангизда текшириб кўришингиз мумкин.

Тепадаги ҳолатни кўриб, ВЕНКОН фойдаланувчилардан яширин тарзда маълумотни нима учун йиққани менга аён бўлди. Ушбу амал ВЕНКОН фирманинг электрон ҳужжат алмашиш сервиси - DIDOX учун қилинган.

Коднинг жавоби ҳам xml файлга тўпланиб ВЕНКОН серверига юборилади.

xml файлларининг барча жавобларини мана бу ердан юклаб олиб кўриш мумкин.

Буларни барчасини тўплаш қонунийми?

Шундан сўнг мен ВЕНКОНи шартномаларини қидиришни бошладим ва уларнинг сайтидан 2та шартнома намунасини топдим.

1. Ўрнатиш учун шартнома
2. ИТС учун шартнома

На ўрнатиш учун шартномада, на ИТС учун шартномада дастур ишлаб чиқарувчи ўзининг хизматларини яхшилаш ёки ривожлантириш учун хуфёна корпоратив маълумотни йиғиши мумкинлиги ҳақида ёзилмаган.

Менинг биринчи изланишларим 2020 йил март ойларида бўлган эди. Ўшанда мен бу ҳолат ВЕНКОН фирмасининг электрон ҳужжат алмашуви сервиси тўлиқ ишга тушгунга қадар бўлган ҳолат деб ўйлаган эдим. Бугунги кун ҳолатида, яъни ушбу мақолани биринчи рус тилидаги версияси ёзилган кун, 19 чи июль 2020 йил ҳолатида ҳам маълумотлар тўпланаётган эди. Барча амаллар шаффофлигини таъминлаш учун мен барча амалларни видеога ҳам олиб қўйганман.

Хулосалар

Юқоридаги ҳолатни инобатга олган ҳолда шундай хулоса қилиш мумкинки, маълумотларнинг йиғилиши DIDOX хизматининг ўзида ҳам олиб борилиши мумкин. У ерда энди фактураларнинг сонини эмас, балки ҳақиқий мижозларнинг базасини ҳам шакллантириш мумкин. Ўз ўрнида, мижозларни қизиқтириш мақсадида сервис биринчи 1 000 та счет-фактураларни юборишни текин қилиб қўйган. Агарда бир кун келиб сизнинг мижозингизга VENKON DIGITAL реклама агентлигидан қўнғироқ қилиб, сиздан кўра яхши таклиф беришса мен бунга ажабланмайман.

Ва ўз навбатида ДСИ томонидан электрон ҳужжатлар алмашувини шахсий фирмаларга олиб боришни берганлиги бу хато деб ҳисоблайман. Бу амаллар серверлар ва ҳодимларнинг қўллаб қувватлаш учун қилинганини мен яхши тушунаман, лекин солиқ тўловчилар ҳам оз моз солиқ тўламаяпти.

Ҳуқуқни сақловчи органлар ва Ўзбекистон республикаси информацион технологиялар ва комуникацияларни ривожлантириш вазирлиги ушбу ҳолат юзасидан бирор бир чора кўришларини мен билмайман. Жуда бўлса пандемия даврида Соғлиқни сақлаш вазирлиги каби сувдан қуруқ чиқадилар.

Ва бу ҳолатда 1С фирмаси қандай тутиши ноаниқ.

ИТОГО

Текин сир фақат қопқонда.

Ҳурматли фойдаланувчилар! Сиз ўзингизни дастурчингизга шунақа маълумотларни ошкор қилишингизга тайёрмисиз? Инвесторлар ўзларининг маълумотларини 3 шахсга тақдим қилишларигачи? Ва бутун республикада 1С ўрнатадиган ВЕНКОНнинг версерида шунча вақт оралиғида қанча маълумот тўпланди?

Худди шундан йўл билан фойдаланувчининг ишлаб турган базасидан ихтиёрий маълумотни тортиб олиш мумкин.

Ва ўз навбатида бошқа 1С дастурчилар ҳам худди шундай маълумотларни йиғадилар деган фикр хато. Ундай эмас.

PS

Ушбу мақолани чиққан кун 4 та блогерга юборилган эди. Шулардан фақат 1 таси жавоб берди. Ўша пайт соат 2 кечаси эди. Эрталаб ВЕНКОН ўзининг телеграм каналига ушбу мақолага раддия берибди. Шундан кейин бизни блогерлар қанақа ишлашлари маълум бўлди.