Wir müssen den Spezialisten von Cyan Tribut zollen - sie reagierten sehr schnell und stellten alles in die Regale. Hier sind ihre unveränderten Erklärungen:
Oleg Maslennikov, Architekt von Cyan Security:
„Ich beschäftige mich mit Sicherheit in Cyan. Ich möchte Ihre Aufmerksamkeit auf einige sachliche und technische Fehler in diesem Artikel lenken. Zunächst wird argumentiert, dass die Daten „wegfliegen“ und von einem Überseedienst verarbeitet werden. Es ist nicht so. Wir nutzen Sumsub, eine globale Organisation mit Hauptsitz in London und Büros in PM in Russland, die gemäß den Gesetzen der Russischen Föderation arbeitet.
Russische Pässe werden von der russischen juristischen Person des Unternehmens, Digital Security Technologies LLC (sumsub.ru), verarbeitet.
Speicherinformationen:
- Link zum entsprechenden Abschnitt der Website: sumsub.ru/security
- Speicherung gemäß den Anforderungen des RKN: Gemäß der an das RKN gesendeten Benachrichtigung werden personenbezogene Daten im Rechenzentrum des Unternehmens Selectel gespeichert.
- Digital Security Technologies LLC ist im Register der PD-Betreiber von Roscoomnadzor eingetragen.
Zweitens über die Tatsache, dass die Daten an einen Server gehen, der sich physisch in Amerika befindet. Sumsub verwendet das CloudFlare-System zum Schutz von Websites und Diensten. CloudFlare ist ein Proxy, daher haben sie immer dieselbe IP, aber die Datenroute geht zum nächsten DC. In Russland gibt es zwei solche DCs - in Moskau und in St. Petersburg. Sie können diese Route einfach mit Traceroute überprüfen. "
Ich werde hinzufügen, dass sich die Sicherheitsabteilung von cian.ru als überraschend offen und bereit herausstellte, Sicherheitsfragen zu diskutieren.
TL; DR Wenn ein Reisepass auf die Website cian.ru hochgeladen wird, "fliegt" er zum ausländischen Gesichtserkennungsdienst unter api.sumsub.com
Präambel
Hallo wieder. Vielleicht drückt der Alufolienhut wieder auf Ihren Kopf, aber es gibt Fragen und Vermutungen, die ich gerne mit Ihnen teilen möchte. In einem der vorherigen Beiträge wurde eine seltsame und kontroverse "Funktion" im mail.ru-Mailer gezeigt. Ein neuer Tag brachte neue Entdeckungen. Diesmal wollte der Gratulant anonym bleiben. Aber trotzdem danke, dass du die Textur geteilt hast.
Cian.ru ist eine Website, die als "zuverlässige Datenbank für den Verkauf und die Vermietung von Wohn-, Vorort- und Gewerbeimmobilien" positioniert ist und zu CIAN gehört. Gruppe ". Die Ressourcen dieser Firma sind sehr beliebt. Das Unternehmen erklärt, dass es der „Marktführer für Online-Immobilien in Russland“ ist (gemessen an der Anzahl der Besuche von Internetnutzern auf der Website cian.ru gemäß LiveInternet-Daten im Bereich Immobilien zum 12. März 2020). All dies befindet sich im Keller des Geländes. Eine andere Sache ist interessant.
Vor ein paar Jahren tauchten im Web Fragen zu einer neuen Anforderung der Ressource auf: Der Benutzer muss seinen Reisepass hochladen. Eine schnelle Google führt uns direkt zum Referenzabschnitt , der die notwendigen Schritte zur Identifizierung auflistet und erklärt , warum es gut ist .
Die Benutzer äußerten jedoch Bedenken (eins , zwei , drei usw.), weil Der Datensatz besteht aus mindestens Passdaten + einem Scan des RF-Passes + einem Foto mit einem offenen Pass in der Hand. Dies ist für Einzelpersonen. Wenn Sie ein Einzelunternehmer oder eine juristische Person sind, benötigen Sie noch mehr Daten.
Aber genug von den Texten. Mal sehen, was passiert, wenn der Nutzer nur eine Anzeige für den Verkauf einer Wohnung einreicht.
Fabel
Wir werden die Aktionen über unser DLP verfolgen. Das Abfangen von den Modulen HTTPController und MonitorController ist in erster Linie von Interesse. Ich denke, der Name macht deutlich, dass jeder von ihnen abfängt. Ich entschuldige mich im Voraus für die Qualität der Screenshots. Im Moment verkauft keiner der Mitarbeiter eine Wohnung, so dass sie den Fall nicht vollständig reproduzieren konnten. Wir werden das "Kampf" -System zeigen und erklären.
Sortieren wir also das Abfangen von zwei Kanälen nach Zeit, um die Chronologie der Aktionen klar zu sehen.
Aktion 1. Eine Person besucht cian.ru und beginnt mit dem Einreichen einer Anzeige. Es ist beim Abfangen auf http zu sehen, dass die Fotos geflogen sind. 4 Stück (Zeilen 6-9 im Screenshot).
Sie können sich sofort, ohne die Kasse zu verlassen, den Anhang ansehen, der zu cian.ru geflogen ist. Wir sorgen dafür, dass Fotos aus dem Inneren der Wohnung geladen werden.
Das Abfangen von MonitorController (Zeile 10) bestätigt alles. Der Browser ist sichtbar, 4 hochgeladene Fotos sind sichtbar, die gleichen Fotos sind im Anzeigenkörper sichtbar.
Aktion 2. Ein interessanter Moment kommt. Nach dem Hochladen eines Fotos fliegen verschiedene Pakete an verschiedene Orte. Etwas auf der Cyan-API, etwas auf mail.ru, etwas auf Facebook. Wozu? Weiß nicht. Aber hier wurde kein offensichtliches Verbrechen gefunden. Schließlich kommt ein Punkt, an dem der Schritt zur Identitätsprüfung angezeigt wird.
Einige Leser fragen sich vielleicht, wie es so erfolgreich ist und zum richtigen Zeitpunkt macht das System Screenshots? Es ist einfach. MonitorController verfügt über die Option "Beim Ändern des aktiven Fensters einen Bildschirm erstellen". Hier sehen wir eine solche Situation: Eine Person drückt einen Knopf, um ein Foto hinzuzufügen, ein Fenster öffnet sich, das System reagiert. Keine Hexerei.
Schauen wir uns den Bildschirm genauer an.
Wenn Sie genau hinschauten, werden Sie sich vielleicht daran erinnern, dass sich dieser Bildschirm in Zeile 27 befand. Was kommt als nächstes in der Chronologie? Zeile 28 hat es eilig, die Intrige zu töten - der Mann fügte seinen Pass hinzu. Aber!
Schau mal,
Die letzte Hoffnung bleibt. Vielleicht verarbeitet dieser Dienst Bilder in Russland? Ich würde gerne Beweise dramatisch in die Halle werfen, aber um ehrlich zu sein, muss man es bis zum Ende sein. In diesem Fall hat unser DLP die Proxyserveradresse als Ziel-IP festgelegt.
Daher schlage ich vor, dass Sie sich selbst vergewissern, wenn Ihre Pässe beim Einreichen von Anzeigen wegfliegen. Ich für meinen Teil kann den Befehl "ping -a" eingeben, der "104.26.10.41" ausgegeben hat.
Im Allgemeinen möchte ich an diesem hellen Sysadmin-Feiertag, der auch Freitag (!) Ist, glauben, dass ich mich irgendwo geirrt oder missverstanden habe. Nun, in diesem Fall bin ich bereit, Asche auf meinen Kopf zu streuen, mich öffentlich zu entschuldigen und Material zu lehren. In der Zwischenzeit fordere ich die Community auf, die angegebenen Fakten unabhängig zu überprüfen und wenn möglich die Ergebnisse zu teilen.