Jawność metadanych JSON w KSeF i jej konsekwencje
W poprzedniej części dokładnie opisałem, jakie techniczne metadane protokołu HTTPS widzi Imperva jako warstwa pośrednia przy terminacji TLS: adres IP nadawcy, nagłówki HTTP, parametry transportu, rozmiary pakietów, czasy odpowiedzi etc. To daje ogromny cień działania systemu, ale cień ten może być użyteczny sam w sobie jako źródło wiedzy wywiadowczej.
W tej części idę krok dalej. Wykazuję, iż Imperva widzi także pełne metadane biznesowe przesyłane przez API KSeF w odpowiedziach JSON, oraz opisuję konsekwencje takich informacji.
Zrobiłem dodatkowy audyt techniczny, który na podstawie testów łączenia się z API KSeF wykazał jawność metadanych JSON po terminacji TLS przez Impervę i wypisał konkretne pola, które są widoczne w odpowiedziach serwera: ]]>Audyt techniczny: jawność metadanych JSON w KSeF przy terminacji TLS przez Imperva]]>
Imperva widzi metadane biznesowe w JSON w odpowiedziach API KSeF
Treść faktury XML jest szyfrowana (E2E), niemniej analiza API pokazuje coś ciekawego: odpowiedzi endpointów zwracają rozszerzony JSON z metadanymi faktur. Te metadane:
- nie są częścią zaszyfrowanego blobu XML,
- są od razu dostępne w odpowiedzi JSON,
- mogą zawierać dane identyfikujące transakcje.
Dokładna lista pól jawnie zwracanych przez serwer i widocznych dla Impervy obejmuje (według specyfikacji API analizowanej w audycie).
Widoczne w JSON metadane faktur:
- NIP sprzedawcy – identyfikator podatkowy wystawcy faktury,
- identyfikator nabywcy – NIP / VAT UE / inny identyfikator odbiorcy,
- nazwa sprzedawcy i nabywcy – pełne nazwy podmiotów,
- kwoty netto, VAT i brutto – finansowe wartości transakcji,
- waluta – w jakiej opłacono fakturę,
- numer faktury – unikalny identyfikator dokumentu,
- daty operacyjne – data wystawienia, data przyjęcia do systemu,
- typ faktury – VAT, korekta, zaliczka etc.
Metadane te nie są zaszyfrowane w aplikacyjnym blobie — są zwracane bezpośrednio w JSON jako odpowiedź na zapytania o metadane (/invoices/query/metadata). To oznacza, iż metadane te są jawne dla warstwy, która terminując TLS, odszyfrowuje ruch, czyli w praktyce dla Impervy. Audyt techniczny potwierdza jawność tych danych,
Pełny audyt techniczny pt. „Jawność metadanych JSON w KSeF przy terminacji TLS przez Imperva” dokumentuje to obserwacyjnie:
- ruch do API KSeF przechodzi przez infrastrukturę Imperva (nagłówek X-CDN: Imperva, DNS, IP),
- warstwa ta terminuje szyfrowanie TLS, czyli odczytuje cały ruch HTTP/HTTPS,
- odpowiedzi API zawierają metadane biznesowe w plaintext JSON,
- te metadane są więc technicznie widoczne dla Impervy.
Audyt zawiera konkretne komendy testowe, przykładowe odpowiedzi JSON oraz analizę pól metadanych. Dlaczego to ma znaczenie? Techniczna możliwość odczytu metadanych JSON z API ma wymiar znacząco większy niż tylko techniczny. Poniżej opisuję najważniejsze konsekwencje.
Pełny obraz biznesowej aktywności
Metadane faktur to nie tylko bezpieczne podpisy i techniczne identyfikatory — to rdzeń obrazu działalności gospodarczej:
- kiedy jakie firmy wystawiają faktury,
- z kim i w jakiej kwocie dokonują transakcji,
- jakie branże są aktywne w danym okresie,
- które sektory gospodarki mają wysoką rotację.
To zestaw informacji, który w klasycznych środowiskach analitycznych daje możliwość budowy mapy przepływów gospodarczych, trendów, zależności między podmiotami oraz rozpoznania wzorców aktywności rynkowej — bez konieczności odczytywania treści faktur.
Analiza rytmu i trendów transakcyjnych
Imperva widzi również:
- częstotliwość zapytań o metadane,
- ilość żądań według NIP,
- timestampy operacji,
- rozkład czasowy transakcji.
To pozwala wyłonić tempo obrotu gospodarczego, intensywność działania podmiotów oraz sezonowość rynkową — bez konieczności odczytu danych ukrytych w XML.
Analiza geolokalizacja i aktywności sieciowej
Dzięki widoczności adresów IP i ich właściwości (operator sieci, region, hosting) możliwe jest:
- łączenie działalności gospodarczej z geolokalizacją podmiotów,
- śledzenie zmian aktywności według regionów,
- identyfikowanie źródeł zapytań agregowanych (np. platform księgowych czy masowych integratorów).
To nie jest kryptograficzne odczytanie treści — to analiza zachowań i wzorców komunikacyjnych.
Możliwości analityki bezpieczeństwa i nadużyć
Widoczność metadanych daje także potencjał:
- budowania profili ryzyka podmiotów na podstawie aktywności transakcyjnej,
- identyfikowania anomalii (np. nagły wzrost zapytań o określone NIP),
- wykrywania potencjalnych botów lub automatycznych systemów masowych operacji.
To wszystko bez dostępu do zaszyfrowanej treści XML.
Podsumowanie
Imperva jako WAF i reverse proxy, terminując TLS, widzi znacznie więcej niż tylko nagłówki połączeń, dokładnie to, co zostało opisane w poprzedniej części VII. Dodatkowo może obserwować i analizować wszystkie metadane JSON zwracane przez API KSeF, w tym: NIP sprzedawcy i nabywcy, nazwy podmiotów, kwoty netto/VAT/brutto, walutę transakcji, numer faktury, daty operacyjne i typ faktury.
Ta jawność metadanych otwiera drogę do budowy kompleksowych analiz gospodarczych, behawioralnych i sieciowych, które nie wymagają znajomości treści faktur, a jednocześnie pozwalają odtworzyć obraz tego, co dzieje się w gospodarce.
Grzegorz GPS Świderski
]]>Kanał Blogera GPS]]>
]]>GPS i Przyjaciele]]>
]]>X.GPS65]]>
PS. Poprzednie części:
- Część I. ]]>KSeF nie poszerza inwigilacji. KSeF zwiększa rozdzielczość.]]>
- Część II. ]]>Praktyka KSeF: HurtPol kontra Kowalski i Synowie.]]>
- Część III. ]]>Administrator KSeF. Czyli gdzie naprawdę leży władza.]]>
- Część IV. ]]>Technologia KSeF – suwerenność kończy się tam, gdzie kończy się kabel!]]>
- Część V. ]]>Część V. KSeF i ciągłość decyzji. Imperva, czyli suwerenność sprzedana na raty!]]>
- Część VI. ]]>KSeF – wyjaśnienie technicznych i praktyczne przykłady]]>
- Część VII. ]]>Jakie metadane widzi Imperva?]]>
Tagi: gps65, KSeF, finanse, gospodarka, podatki, biznes, państwo, wywiad
