Podaję dowód, że KSeF to system szpiegowski, który każdy laik może łatwo sam przeprowadzić w trzy minuty. Otóż cały ruch do produkcyjnego API KSeF przechodzi przez bramkę WAF firmy Imperva, działającą przed właściwym systemem KSeF jako zewnętrzna warstwa ochronna. To można sprawdzić samodzielnie, bez konta w KSeF, bez dostępu do faktur, bez żadnych narzędzi hackerskich. Wystarczy publiczny DNS, publiczny WHOIS i oficjalna dokumentacja API 2.0 Ministerstwa Finansów.
To jest ważne, bo KSeF nie przesyła przez API wyłącznie zaszyfrowanych E2E faktur w XML, których nikt po drodze nie może odczytać. Oficjalna dokumentacja pokazuje, że w API istnieją metadane faktur zwracane jako zwykły JSON zawierające: NIP sprzedawcy, dane nabywcy, nazwy podmiotów, numer faktury, daty, kwoty netto, VAT, brutto, waluta i typ faktury. To są dane gospodarcze najwyższej wrażliwości. Nie trzeba znać treści każdej pozycji faktury, by z takich metadanych zbudować mapę obrotu gospodarczego.
Nie wymagam, byście mi wierzyli na słowo. Poniżej są trzy proste kroki. Każdy może je wykonać sam. To jest zwykła kontrola techniczna: dokąd prowadzi adres API KSeF, kto jest właścicielem domeny pośredniczącej i jakie dane według oficjalnej dokumentacji przechodzą przez to API.
1⃣ Pierwszy krok
Wchodzimy na stronę MXToolbox SuperTool (mxtoolbox.com/SuperTool.aspx) i sprawdzamy adres produkcyjnego API KSeF, czyli api.ksef.mf.gov.pl. Najlepiej użyć tam opcji DNS Lookup albo CNAME Lookup, bo nie sprawdzamy poczty, tylko trasę DNS dla usługi API.
Wynik pokazuje, że api.ksef.mf.gov.pl nie prowadzi bezpośrednio do serwera Ministerstwa Finansów, lecz do nazwy w domenie impervadns.net, zwykle w postaci podobnej do *.ng.impervadns.net. Początek tej nazwy może być technicznym identyfikatorem i może wyglądać mało czytelnie. Istotna jest końcówka: impervadns.net.
To oznacza, że oficjalny adres API KSeF jest w DNS-ie skierowany na infrastrukturę Impervy. Program księgowy, system ERP albo integracja firmowa, które łączą się z KSeF przez api.ksef.mf.gov.pl, trafiają najpierw na tę bramkę. To jest pierwszy twardy element układanki: DNS pokazuje Impervę na wejściu do API KSeF.
2⃣ Drugi krok
W tym samym MXToolbox robimy Whois Lookup dla domeny impervadns.net. WHOIS to publiczny rejestr informacji o domenach. Nie pokazuje żadnej tajemnicy. Pokazuje zwykłe dane rejestracyjne domeny, podobnie jak księga wieczysta pokazuje formalne informacje o nieruchomości.
W wyniku dla impervadns.net widać, że domena jest zarejestrowana na Imperva Inc. To zamyka prosty łańcuch dowodowy: oficjalny adres API KSeF prowadzi przez DNS do impervadns.net, która jest domeną amerykańskiej firmy Imperva Inc.
Wniosek jest prosty. To nie jest luźne skojarzenie, przypuszczenie ani domysł. To jest publicznie sprawdzalna konfiguracja DNS i publicznie sprawdzalna informacja WHOIS. Bramka wejściowa do API KSeF znajduje się w warstwie obsługiwanej przez zagraniczną firmę Imperva.
3⃣ Trzeci krok
Zaglądamy do oficjalnej dokumentacji API KSeF 2.0 (api.ksef.mf.gov.pl/docs/v2/index.html) i szukamy endpointu /invoices/query/metadata. To jest miejsce, w którym dokumentacja opisuje pobieranie metadanych faktur.
W dokumentacji widać, że metadane faktur są strukturą JSON. W tej strukturze występują między innymi dane sprzedawcy i nabywcy, identyfikatory typu NIP, nazwy podmiotów, numer faktury, daty operacyjne, kwoty netto, VAT i brutto, waluta oraz typ faktury. Czyli dokładnie to, co wystarczy do odtworzenia relacji gospodarczych między firmami: kto komu wystawił fakturę, kiedy, na jaką kwotę i w jakim charakterze.
Jeżeli ruch do API KSeF jest kierowany przez bramkę WAF Impervy, a API zwraca takie metadane jako JSON, to ta bramka znajduje się na ścieżce danych o polskiej gospodarce. Nie trzeba twierdzić, że Imperva ma bazę KSeF. Wystarczy stwierdzić rzecz techniczną: Imperva obsługuje bramkę wejściową, przez którą przechodzi ruch do API, a w tym ruchu oficjalna dokumentacja przewiduje jawne metadane faktur. To jest sedno problemu!
Polska jest jedyna na świecie, która przyjęła taką architekturę. Żadne inne państwo na świecie nie oddało bramki bezpieczeństwa WAF swojego systemu centralnego gromadzenia faktur zagranicznej firmie, wszystkie one robią to poprzez firmy rodzime lub rządowe albo w architekturze "on-premise", czyli przez urządzenia i oprogramowanie, które się ma pod pełną kontrolą.
Grzegorz GPS Świderski
t.me/KanalBlogeraGPS
Twitter.com/gps6