Не хотелось бы конечно сделать дикий вброс, НО, авторизации там нет! Регистрация проходит отправкой информации о вашем девайсе (телефоне). Туда входит адрес, номер телефона, ФИО и т.д.

Сразу после регистрации с вас требуют фотку и загружают уже её к “вам в профиль”. На самом деле для того, чтобы указать чья эта фотка, указывается доп параметр в запросе - IMEI. Как я понимаю, он находится в поле deviceId модели Device, которую мы отправили при первом шаге регистрации.

И знаете в чем рофл? Нуу, например, что я могу всем какашку на фотку залить, только IMEI перебрать.

Вы могли сказать что Илья, смотри, вверху есть запрос пароля! Ага, да, есть. Только вот с обработки ответа этого эндпоинта я ору в голос (скрин ниже). Он просто отнимает попытки если запрос не прошел, а если прошел - возвращает true. Опять для запроса передаются данные устройства.

И так везде! Получение информации (статуса) об акке - пожалуйста, только IMEI введи. Не важно твой это или нет.

Отправить фейковую локацию и подставить человека? Ок, только придумай на какие острова его киданем и опять же давай IMEI.

Ну и да, что уж тут говорить, что мы, имея фотку любого человека из РОССИИ, можем отправить его на распознавание И ПОЛУЧИТЬ ДАННЫЕ О ЧЕЛОВЕКЕ? ОЧЕНЬ УДОБНОЕ ПРИЛОЖЕНИЕ СО СЛИВОМ ВСЕХ ГРАЖДАН.

Многое из этого чисто факт по коду, с паролем лютый кек, возможно, тут декомпилятор орнул.

Классный метод с запросом пароля

Кста, они логируют абсолютно все. Любой пук летит в файл. Любой запрос к апи, его ответ, всё тааам.

Очень хорошо, что они оффнули сервера и убили свой токен от сервиса для распознавания, я бы не удержался покекать 🌚

Upd. Регистрация устройства возвращает какой-то код (authCode), но он не используются в других запросах (просто сохраняется)

Из поста выше можно узнать, что у бэкенда приложения для слежки за жителями Москвы тупо НЕТ АВТОРИЗАЦИИ (это какой-то ад).

И ещё два хороших поста с разбором приложения:

https://t.iss.one/MarshalC/547
https://t.iss.one/MarshalC/549

https://www.kommersant.ru/doc/4311114
Участники рынка онлайн-торговли утверждают, что столкнулись с масштабными проблемами на региональном уровне: по их словам, местные регулирующие органы останавливают курьеров, не дают поставщикам добраться до распределительных центров и заставляют закрываться пункты выдачи заказов (ПВЗ). Ассоциация компаний интернет-торговли (АКИТ) заявляет как минимум о 2 тыс. случаев помех для работы курьеров и поставщиков за последние дни. Это происходит на фоне повышенного спроса на многие категории товаров, включая продукты и бытовую технику.

Специальный налоговый режим для самозанятых будет распространен на всю страну с 1 июля
https://rg.ru/2020/03/31/gosduma-razreshila-vsem-regionam-vvodit-nalog-dlia-samozaniatyh.html
Государственная Дума разрешила регионам вводить налог для самозанятых с 1 июля 2020 года.

Специальным налоговым режимом могут воспользоваться физические лица и ИП, получающие доход от товаров собственного производства или оказания услуг без привлечения наемных рабочих. Налоговая ставка составляет 4% при работе с физическими лицами и 6% - с индивидуальными предпринимателями и юридическими лицами.

С 1 июля власти регионов смогут самостоятельно решать вопрос о том, стоит ли им присоединиться к эксперименту. Для участия достаточно установить мобильное приложение «Мой налог».

Сейчас в 23 регионах зарегистрировались 562 тысячи человек.

Подполье

Путин щедро продлил нерабочие дни до 30 апреля. Это значит, что жители Москвы еще месяц не будут ходить в рестораны, бары, спорт-залы, не будут покупать автозапчасти, канцелярские принадлежности, не смогут гулять по бульварам. Нужно киснуть дома и спиваться, повышая статистику домашнего насилия.

Интересно, на сколько хватит девушек без парикмахерских и маникюра? Когда откроются (или когда уже открылись) подпольные салоны красоты?

Когда откроются подпольные бары, рестораны? Когда состоятся нелегальные подпольные лектории? Когда будет открыт доступ в засекреченный парк, где можно прогуляться на открытом воздухе без штрафа со стороны росгвардейского патруля?

Битва телевизора и интернета за частоты началась

Интернет уже почти победил телевизор в нашем Арканаре. Но еще не совсем. И не везде. Вот возьмем частоты. Вроде бы интернет сейчас важнее телевизора? Особенно интернет 5G. Особенно, если телевизор цифровизован и высвободил уже частоты. Да, но нет.

До сих пор действует указ Светлейшего короля нашего Арканара, прямо запрещающий перераспределять частоты в так называемом «втором цифровом дивиденде» - диапазоне 694-790 МГц. Во всем мире телек ушел с этих частот, освободив их для 5G-сетей. Во многих странах такие сети уже даже построены и работают. И только у нас телеканалы отчаянно держатся за частоты и вопят, что им они нужны для HD-вещания.

Но вот, кажется, воз тронулся с места. В концепции развития 5G, подготовленной Минцифразом, до конца года предполагается эти частоты перераспределить под сети пятого поколения. Вот только хватит ли Минцифре веса заглушить голоса телеканалов и убедить Светлейшего разорвать его собственный указ? Ведь уже дважды заходы операторов на эти частоты закончились ничем.

Суровые времена требуют суровых решений!
#wifi, #рукиизжопы

нет, ну серьезно, мне нужен такой рингтон!

Скоробогатова сказала, что не верит в криптовалюты как средство платежа, поскольку они представляют большой риск для клиентов.

https://www.block-chain24.com/news/novosti-regulirovaniya/blokcheyn-ne-panaceya-dlya-finansov-utverzhdaet-zamglavy-cb-rf

Весь мир ща представляет больший риск, чем криптовалюты

@cryptovorchun

Экономико-аналитический выпуск.

= = = от автора = = =
В текущей ситуации аналитические отчеты даже месячной давности не имеют большого смысла. Мир изменяется насколько быстро, что подходы, которые мы использовали еще месяц назад утратили актуальность. Мы переживаем, возможно, величайший на нашем веку передел рынков. В условиях "путинских каникул" люди разделяются на две категории: первые, для которых эти дни сммешаются в один сплошной выходной, и вторые, для которых апрель - единый рабочий день. Думайте как выживать в эру экспоненциальных графиков, думайте, что будет востребовано через месяц, полгода, год, работайте на перспективу. Есть фраза, которую приписывают Илону Маску: "Ебашь так, как-будто кто-то ебашит 24 часа в сутки, чтобы всё у тебя отобрать". Самое время прислушаться, потому что вот такие новости:

Из-за ограничений и проблем, связанных с коронавирусом, в России приостановили работу 37% торговых точек, 85% магазинов одежды, 78% цветочных лавок, 75% магазинов электроники, 71% фитнес-центров, 65% гостиниц, 65% столовых и 42% кафе и ресторанов временно закрылись. Покупательская активность россиян на карантине побила рекорд предновогодней недели. Объем закупок в натуральном выражении на 17,4% превысил значения предновогодней недели, которая является самым активным периодом покупательской активности в году. На рынке бытовой техники и электроники тоже рекордные продажи перед затишьем. Инфляция остается повышенной уже вторую неделю подряд. В годовом выражении инфляция ускорилась до 2,8%.

Всё это происходит на фоне того, что более 60% россиян не имеют никаких сбережений. Те, кто все-таки имеет накопления, истратят их в случае потери работы максимум за полгода. Больше 60% респондентов сообщили, что им не хватает денег до следующей зарплаты или стипендии, причем 34,6% из них недостает значительной суммы. Как следствие, нас ждет резкий рост неплатежей россиян по микрозаймам.
В связи с COVID-19 многие бизнесы встали в ступор. Все их бюджеты, прогнозы, которые основаны на линейной регрессии и базовой статистике рухнули. Российский бизнес теряет из-за пандемии триллионы рублей. Подробно на Forbes. По данным FinExpertiza до конца апреля потери могут достигнуть 5,5 трлн рублей. "Беспрецедентная" помощь государства российского в размере 136 млрд рублей составляет лишь 2,4% от этой суммы.

= = = =
Реальная картина такова, что вокруг нас сотни тысяч людей, живущих от зарплаты до зарплаты, жизнедеятельность и работа которых не может быть перенесена в онлайн.
И если нам (людям-онлайна) страшно, то представляете, насколько страшно тем, кто ежедневно слышит из телевизора фразы о том, что все ушли в онлайн?

Будьте избирательны к СМИ и информационным сообщениям. Используйте факт-чекинг, доказательную журналистику и исследования с понятно описанной методологией сбора данных. Если вы считаете важной информацию о распространении вируса, то используйте официальные источники covidly.com, worldometers.info/coronavirus/, ncov2019.live.

Все будет хорошо когда-нибудь...

@internetanalytics

LSAT: токен аутентификации в сервисах с оплатой через Лайтнинг

Пару дней назад компания Lightning Labs представила новый протокол LSAT: Lightning Service Authentication Token. Протокол описывает способ аутентификации и оплаты за использование сервисов через Лайтнинг. Другими словами, это платежный шлюз для API-серверов с автоматической и гибкой оплатой сатошами через Lightning Network.

Пару лет назад Blockstream проводили неделю приложений на LN. Одно из приложений было как раз таким платёжным шлюзом. Идея простая: у вас есть какой-то сервис, который предоставляет услуги пользователям. Допустим, это сервис типа CoinMarketCap. У сервиса есть АПИ, через который разработчики могут получать какие-то данные. АПИ, конечно, не полностью бесплатное: есть бесплатный план, и есть платные планы, которые позволяют получать больше данных. Платные планы чаще всего оплачиваются вперед на месяц или год, но иногда используется система кредитов: один платный запрос стоит сколько-то кредитов, которые вы заранее покупаете в зависимости от ваших потребностей. LSAT это как раз технология для оплаты за использование вот таких платных АПИ, но оплата происходит автоматически в процессе запроса данных через АПИ.

Как это работает.
Сервер отправляет запрос к платному АПИ, АПИ возвращает HTTP-статус 402 Payment Required (в спецификации HTTP этот статус зарезервирован на будущее, и вот будущее настало!). Вместе с ответом приходит инвойс и токен: инвойс — для оплаты за использование АПИ, токен — даёт доступ к АПИ, но активируется только после оплаты. Вы оплачиваете инвойс через Лайтнинг и получаете в обмен preimage — это такая секретная последовательность байт, которую вы фактически и покупаете за сатоши в Лайтнинге (как-нибудь разберём тонкости работы Лайтнинга). Имея preimage и токен, вы теперь можете отправить запрос к АПИ, передав их в запросе. Все это происходит автоматически, если вы используете специальный кошелёк, и занимает пару секунд.

Как я уже говорил, идея не новая, просто сейчас они взяли и оформили это в спецификацию. На мой взгляд это довольно интересная технология, которая позволяет платить, например, 1 сатоши за один запрос к АПИ — быть может когда-то все сайты будут использовать такой механизм оплаты за визиты, взамен избавляя людей от рекламы и слежки. Но с другой стороны, внедрять такое решение сегодня никто не будет. Причин несколько:
1. Крипта чужда традиционному финансовому миру. Собирать оплату за сервис в крипте будут только фанаты.
2. Сложно настраивать сервер. Нужно запускать Биткоин-ноду, Лайтнинг-ноду и программировать/подключать шлюз.
3. (Почти) нету готовых и удобных решений для пользователей.
4. Гибкий план оплаты выгоден пользователям, но не бизнесам.

Идея интересная, технология перспективная, но массовое применение ей пока не найдено. Значит, нужно искать дальше!

Также Lightning Labs выпустили:
1. Реализацию шлюза на Golang: https://github.com/lightninglabs/aperture
2. Библиотеку на Node.js: https://github.com/Tierion/lsat-js

Спецификация LSAT: https://github.com/lightninglabs/LSAT


Сидите дома и изучайте Биткоин.