私たちはシアンの専門家に敬意を表する必要があります-彼らは非常に迅速に反応し、すべてを棚に置きました。変更なしの説明は次のとおりです
。CyanSecurityのアーキテクトであるOlegMaslennikov:
「私はCyanのセキュリティに携わっています。この記事のいくつかの事実上、技術上の誤りに注意を向けたいと思います。まず、データは「飛び去り」、海外のサービスによって処理されると主張されています。本当じゃない。私たちは、ロンドンに本社を置き、ロシアにPMにオフィスを構え、ロシア連邦の法律に従って運営されているグローバル組織であるSumsubを使用しています。
ロシアのパスポートは、同社のロシアの法人であるDigital Security Technologies LLC(sumsub.ru)によって処理されます。
ストレージ情報:
-サイトの対応するセクションへのリンク:sumsub.ru/security-RKN
の要件に従った保管:RKNに送信された通知に従って、個人データはSelectel社のデータセンターに保管されます。
--Digital Security Technologies LLCは、RoscoomnadzorのPDオペレーターの登録に含まれています。
第二に、データが物理的にアメリカにあるサーバーに送られるという事実について。 SumsubはCloudFlareシステムを使用してサイトとサービスを保護します。 CloudFlareはプロキシであるため、常に同じIPを持ちますが、データルートは最も近いDCに送られます。ロシアには、モスクワとサンクトペテルブルクの2つのDCがあります。このルートはtracerouteで簡単に確認できます。」
cian.ruのセキュリティ部門は驚くほどオープンで、セキュリティの問題について話し合う準備ができていることが判明したことを付け加えておきます。
TL; DRパスポートをサイトcian.ruにアップロードすると、api.sumsub.comの外国人顔認識サービスに「飛ぶ」。
前文
またあったね。ティンフォイルハットが再び頭を圧迫しているのかもしれませんが、私があなたと共有したい質問や疑惑があります。以前の投稿の1つで、mail.ruメーラーの奇妙で物議を醸す「機能」が示されました。新しい日は新しい発見をもたらしました。今回、善意者は匿名のままでいたかった。しかし、とにかくテクスチャを共有してくれてありがとう。
Cian.ruは、「住宅、郊外、商業用不動産の販売とリースに関する信頼できるデータベース」として位置付けられているサイトであり、CIANに属しています。グループ」。この会社のリソースは非常に人気があります。同社は、「ロシアのオンライン不動産のリーダー(2020年3月12日現在の不動産セクションのLiveInternetデータによるインターネットユーザーによるcian.ru Webサイトへのアクセス数に関して)」であると宣言しています。これはすべてサイトの地下にあります。もう一つ面白いことがあります。
数年前、リソースからの新しい要件に関する質問がWebに表示され始めました。ユーザーは、パスポートをアップロードする必要があります。簡単なグーグルは、識別に必要なステップをリストし、それがなぜ良いのかを説明するリファレンスセクションに直接私たちを導きます。
しかし、ユーザーは懸念を表明しました(1、2、3、など)、なぜなら データセットは、少なくともパスポートデータ+ RFパスポートのスキャン+開いたパスポートを手にした写真で構成されます。これは個人向けです。個人の起業家または法人の場合は、さらに多くのデータが必要です。
しかし、歌詞は十分です。ユーザーがアパートの販売のために広告を送信した場合にどうなるか見てみましょう。
寓話
DLPを通じてアクションを監視します。 HTTPControllerおよびMonitorControllerモジュールからの傍受が主に重要です。その名前は、それぞれが傍受していることを明確に示していると思います。スクリーンショットの品質について、あらかじめお詫び申し上げます。現時点では、どの従業員もアパートを販売していないため、ケースを完全に再現することはできませんでした。 「戦闘」システムを紹介し、説明します。
それでは、アクションの時系列を明確に確認するために、2つのチャネルからのインターセプトを時間でソートしてみましょう。
アクション1.ある人がcian.ruにアクセスし、広告の送信を開始します。写真が飛んだことはhttpの傍受で見ることができます。 4個(スクリーンショットの6〜9行目)。
チェックアウトを離れることなく、cian.ruに飛んだ添付ファイルをすぐに見ることができます。アパートの内部の写真が読み込まれていることを確認します。
MonitorControllerのインターセプト(行#10)はすべてを確認します。ブラウザが表示され、アップロードされた4つの写真が表示され、同じ写真が広告本文に表示されます。
アクション2。興味深い瞬間がやってくる。写真をアップロードした後、さまざまなパッケージがさまざまな場所に飛んでいきます。シアンのapiの何か、mail.ruの何か、facebookの何か。何のために?私は知らない。しかし、ここでは明らかな犯罪は見つかりませんでした。最後に、本人確認のステップが表示されるポイントがあります。
一部の読者は疑問に思うかもしれませんが、それはどのように成功し、適切なタイミングでシステムがスクリーンショットを作成するのでしょうか?簡単だ。 MonitorControllerには、「アクティブなウィンドウを変更するときに画面を作成する」オプションがあります。ここでは、まさにそのような状況が見られます。人がボタンを押して写真を追加すると、ウィンドウが開き、システムが反応します。魔術はありません。
画面を詳しく見てみましょう。
よくフォローすると、この画面が27行目にあったことを覚えているかもしれません。年代学の次は何ですか? 28行目は陰謀を殺すために急いでいます-男は彼のパスポートを追加しました。だが!
見
最後の希望は残っています。たぶん、このサービスはロシアで画像を処理しますか?劇的に証拠をホールに投げ込みたいのですが、正直なところ、最後までやり遂げる必要があります。この場合、DLPはプロキシサーバーアドレスを宛先IPとして固定しました。
したがって、広告を送信するときにパスポートが飛んでしまうときは、自分で確認することをお勧めします。私の場合、「104.26.10.41」を発行した「ping-a」コマンドを入力できます。
一般的に、金曜日(!)でもあるこの明るいsysadminの休日には、どこかで私が間違っているか誤解されていると信じたいと思います。さて、その場合、私は頭に灰を振りかけ、公に謝罪し、材料を教える準備ができています。それまでの間、私はコミュニティに、述べられた事実を独自に検証し、可能であれば結果を共有するよう要請します。