Devemos prestar homenagem aos especialistas da Cyan - eles reagiram muito rapidamente e colocaram tudo nas prateleiras. Aqui estão suas explicações sem alterações:
Oleg Maslennikov, arquiteto da Cyan Security:
“Estou envolvido com segurança na Cyan, gostaria de chamar sua atenção para alguns erros factuais e técnicos no artigo. Em primeiro lugar, argumenta-se que os dados “voam para longe” e são processados por um serviço estrangeiro. Isso não é verdade. Usamos Sumsub, uma organização global com sede em Londres e escritórios na PM na Rússia, operando de acordo com as leis da Federação Russa.
Os passaportes russos são processados pela entidade legal russa da empresa, Digital Security Technologies LLC (sumsub.ru).
Informações de armazenamento:
- Link para a seção relevante do site: sumsub.ru/security
- Armazenamento de acordo com os requisitos da RKN: de acordo com a notificação enviada à RKN, os dados pessoais são armazenados no data center da Selectel.
- Digital Security Technologies LLC está incluída no registro de Operadores de PD de Roscoomnadzor.
Em segundo lugar, sobre o fato de que os dados vão para um servidor que está fisicamente localizado na América. Sumsub usa o sistema CloudFlare para proteger sites e serviços. CloudFlare é um proxy, então eles sempre têm o mesmo IP, mas a rota de dados vai para o DC mais próximo. Existem dois CDs desse tipo na Rússia - em Moscou e São Petersburgo. Você pode facilmente verificar esta rota com o traceroute. "
Acrescentarei que o departamento de segurança da cian.ru revelou-se surpreendentemente aberto e pronto para discutir questões de segurança.
TL; DR Quando um passaporte é carregado no site cian.ru, ele "voa" para o serviço de reconhecimento facial estrangeiro em api.sumsub.com
Preâmbulo
Olá de novo. Talvez o chapéu de papel alumínio esteja pressionando sua cabeça novamente, mas há perguntas e suspeitas que gostaria de compartilhar com você. Em um dos posts anteriores , um "recurso" estranho e controverso na mala direta mail.ru foi mostrado. Um novo dia trouxe novas descobertas. Desta vez, o simpatizante desejou permanecer anônimo. Mas de qualquer maneira, obrigado a ele por compartilhar a textura.
Cian.ru é um site posicionado como "um banco de dados confiável sobre a venda e locação de imóveis residenciais, suburbanos e comerciais" e pertence à CIAN. Grupo ". Os recursos desta empresa são bastante populares. A empresa declara ser a “Líder de imóveis online na Rússia (em termos de número de visitas ao site cian.ru por usuários da Internet, de acordo com dados da LiveInternet na seção de Imóveis em 12 de março de 2020). Tudo isso está no porão do site. Outra coisa é interessante.
Há alguns anos, começaram a surgir questionamentos na web a respeito de uma nova exigência do recurso: o usuário deve carregar seu passaporte. Um rápido google nos leva direto à seção de referência , que lista as etapas necessárias para a identificação e explica por que é bom.
No entanto, os usuários expressaram preocupações (um , dois , três , etc.), porque o conjunto de dados consiste em pelo menos dados de passaporte + uma digitalização do passaporte RF + uma foto com um passaporte aberto em mãos. Isso é para indivíduos. Se você é um empresário individual ou pessoa jurídica, precisa de ainda mais dados.
Mas chega de letras. Vamos ver o que acontece se o usuário simplesmente enviar um anúncio de venda de um apartamento.
Fábula
Assistiremos as ações por meio de nosso DLP. A interceptação dos módulos HTTPController e MonitorController é de interesse principalmente. Acho que o nome deixa claro que cada um deles intercepta. Peço desculpas antecipadamente pela qualidade das imagens. No momento, nenhum dos funcionários está vendendo um apartamento, portanto não puderam reproduzir integralmente o caso. Vamos mostrar e explicar sobre o sistema de “combate”.
Então, vamos classificar a interceptação de dois canais por tempo para ver claramente a cronologia das ações.
Ação 1. Uma pessoa visita cian.ru e começa a enviar um anúncio. Pode-se ver na interceptação no http que as fotos voaram. 4 peças (linhas 6-9 na imagem).
Você pode imediatamente, sem sair do caixa, olhar para o anexo que foi enviado para cian.ru. Garantimos que as fotos do interior do apartamento sejam carregadas.
A interceptação do MonitorController (linha 10) confirma tudo. O navegador está visível, 4 fotos carregadas estão visíveis, as mesmas fotos estão visíveis no corpo do anúncio.
Ação 2. Chega um momento interessante. Depois de enviar uma foto, pacotes diferentes voam para lugares diferentes. Algo na API ciano, algo no mail.ru, algo no Facebook. Pelo que? Eu não sei. Mas nenhum crime óbvio foi encontrado aqui. Finalmente, chega um ponto em que a etapa de verificação de identidade aparece.
Alguns leitores podem estar se perguntando, como isso é tão bem-sucedido e no momento certo o sistema faz screenshots? É simples. O MonitorController possui a opção "Criar tela ao mudar a janela ativa". Aqui vemos exatamente essa situação: uma pessoa pressiona um botão para adicionar uma foto, uma janela se abre, o sistema reage. Sem bruxaria.
Vamos dar uma olhada na tela mais de perto.
Se você acompanhou de perto, deve se lembrar que esta tela estava na linha # 27. O que vem a seguir na cronologia? A linha # 28 está com pressa para matar a intriga - o homem acrescentou seu passaporte. Mas!
Veja o
A última esperança permanece. Talvez este serviço processe imagens na Rússia? Eu gostaria de lançar evidências dramaticamente no corredor, mas para ser honesto, você tem que ser isso até o fim. Nesse caso, nosso DLP fixou o endereço do servidor proxy como o IP de destino.
Portanto, sugiro que você se certifique de quando seus passaportes voarem ao enviar anúncios. De minha parte, posso inserir o comando "ping -a", que emitiu "104.26.10.41".
Em geral, neste feriado brilhante de administrador de sistema, que também é sexta-feira (!), Eu gostaria de acreditar que me enganei ou não entendi em algum lugar. Bem, nesse caso, estarei pronto para borrifar cinzas na minha cabeça, pedir desculpas publicamente e ensinar material. Nesse ínterim, exorto a comunidade a verificar de forma independente os fatos declarados e, se possível, compartilhar os resultados.