我们必须向Cyan的专家表示敬意-他们反应迅速,将所有东西放在架子上。以下是他们的解释,没有更改:
Cyan Security的架构师Oleg Maslennikov:
“我在Cyan从事安全工作,谨在本文中引起您注意一些事实和技术错误。首先,有人认为数据“飞走”并由海外服务机构处理。这不是真的。我们使用Sumsub,这是一家全球总部,在伦敦设有总部,并在俄罗斯PM设有办事处,并根据俄罗斯联邦法律运作。
俄罗斯护照由公司的俄罗斯法律实体Digital Security Technologies LLC(sumsub.ru)处理。
储存资讯:
-链接到网站的相关部分:sumsub.ru/security-
根据RKN的要求进行存储:根据发送给RKN的通知,个人数据存储在Selectel公司的数据中心中。
-Digital Security Technologies LLC已包含在Roscoomnadzor的PD运营商名册中。
其次,关于数据进入物理上位于美国的服务器这一事实。 Sumsub使用CloudFlare系统保护站点和服务。 CloudFlare是代理,因此它们始终具有相同的IP,但数据路由会到达最近的DC。俄罗斯有两个这样的配送中心-莫斯科和圣彼得堡。您可以使用traceroute轻松检查此路由。”
我还要补充一点,事实证明cian.ru的安全部门非常开放,并准备讨论安全问题。
TL; DR将护照上传到cian.ru网站时,它会“飞往” api.sumsub.com上的外国人脸识别服务
前言
再一次问好。也许锡箔帽子再次压在您的头上,但是我想与您分享一些疑问和怀疑。在以前的一篇文章中,mail.ru mailer中显示了一个奇怪且有争议的“功能”。新的一天带来了新发现。这次,好心人希望保持匿名。但是无论如何,都要感谢他分享纹理。
Cian.ru是一个定位为“住宅,郊区和商业房地产的出售和租赁的可靠数据库”的网站,属于CIAN。组“。该公司的资源非常受欢迎。该公司宣布,它是“俄罗斯在线房地产的领导者(根据截至2020年3月12日“房地产”部分中LiveInternet数据的互联网用户访问cian.ru网站的次数)。所有这些都在站点的地下室中。另一件事很有趣。
几年前,有关该资源的新要求的问题开始出现在Web上:用户必须上传护照。一个快速的Google将我们直接带到参考部分,其中列出了进行识别的必要步骤并解释了为什么这样做很好。
但是,用户表示关注(一,二,三等),因为 数据集至少包括护照数据+ RF护照扫描+手中有张开放护照的照片。这是给个人的。如果您是个人企业家或法人实体,则需要更多数据。
但是足够的歌词。让我们看看如果用户仅提交广告出售公寓会发生什么。
寓言
我们将通过DLP观看动作。来自HTTPController和MonitorController模块的拦截主要是令人感兴趣的。我想这个名字很清楚每个人都在拦截。对于屏幕截图的质量,我事先表示歉意。目前,没有员工在出售公寓,因此他们无法完全复制此案。我们将展示并解释“战斗”系统。
因此,让我们按时间对两个渠道的拦截进行排序,以便清楚地看到行动的时间顺序。
行动1.一个人访问cian.ru并开始提交广告。从http上的截获中可以看到照片飞过。 4件(屏幕截图中的6-9行)。
您无需离开结帐即可立即查看飞往cian.ru的附件。我们确保加载了公寓内部的照片。
MonitorController的侦听(第10行)确认一切。可以看到浏览器,可以看到4张上传的照片,可以在广告正文中看到相同的照片。
行动2。一个有趣的时刻到了。上传照片后,不同的包裹会飞到不同的地方。青色api上的某些内容,mail.ru上的某些内容,facebook上的某些内容。做什么的?我不知道。但是这里没有发现明显的犯罪。最后,出现身份验证步骤。
一些读者可能想知道,它如何如此成功,并且在正确的时间制作系统屏幕截图?这很简单。 MonitorController具有“更改活动窗口时显示屏幕”选项。在这里,我们看到了这样的情况:一个人按下按钮添加照片,一个窗口打开,系统做出反应。没有巫术。
让我们仔细看一下屏幕。
如果您密切关注,您可能会记得该屏幕位于第27行。年表的下一步是什么? 28号线急于杀死这个阴谋-该男子加了他的护照。但!
看看
最后的希望仍然存在。也许此服务在俄罗斯处理图像?我想大胆地将证据扔进大厅,但老实说,你必须坚持到底。在这种情况下,我们的DLP会将代理服务器地址固定为目标IP。
因此,建议您在提交广告时确保自己的护照飞走。就我而言,我可以输入“ ping -a”命令,该命令发出“ 104.26.10.41”。
通常,在这个明亮的系统管理员假期(也是星期五(!)),我想相信自己在某个地方被误解或误解了。好吧,在那种情况下,我将准备撒灰在我的头上,公开道歉并教授物资。同时,我敦促社区独立验证陈述的事实,并在可能的情况下分享结果。