Il faut rendre hommage aux spécialistes de Cyan - ils ont réagi très vite et ont tout mis en rayon. Voici leurs explications sans changements:
Oleg Maslennikov, architecte de Cyan Security:
«Je suis engagé dans la sécurité dans Cyan, je voudrais attirer votre attention sur quelques erreurs factuelles et techniques dans l'article. Premièrement, on fait valoir que les données «s'envolent» et sont traitées par un service à l'étranger. Ce n'est pas vrai. Nous utilisons Sumsub, une organisation mondiale dont le siège est à Londres et des bureaux au PM en Russie, fonctionnant conformément aux lois de la Fédération de Russie.
Les passeports russes sont traités par l'entité juridique russe de la société, Digital Security Technologies LLC (sumsub.ru).
Informations de stockage:
- Lien vers la section correspondante du site: sumsub.ru/security
- Stockage selon les exigences du RKN: conformément à la notification envoyée au RKN, les données personnelles sont stockées dans le centre de données de la société Selectel.
- Digital Security Technologies LLC est inclus dans le registre des opérateurs PD de Roscoomnadzor.
Deuxièmement, sur le fait que les données sont transmises à un serveur physiquement situé en Amérique. Sumsub utilise le système CloudFlare pour protéger les sites et les services. CloudFlare est un proxy, ils ont donc toujours la même adresse IP, mais la route des données va au contrôleur de domaine le plus proche. Il existe deux de ces centres de développement en Russie - à Moscou et à Saint-Pétersbourg. Vous pouvez facilement vérifier cet itinéraire avec traceroute. "
J'ajouterai que le service de sécurité de cian.ru s'est avéré étonnamment ouvert et prêt à discuter des problèmes de sécurité.
TL; DR Lors du téléchargement d'un passeport sur le site cian.ru, il "vole" vers le service de reconnaissance faciale étranger à api.sumsub.com
Préambule
Rebonjour. Peut-être que le chapeau de papier d'aluminium vous presse la tête, mais il y a des questions et des soupçons que je voudrais partager avec vous. Dans l'un des messages précédents , une "fonctionnalité" étrange et controversée dans le mailer mail.ru a été montrée. Un nouveau jour a apporté de nouvelles découvertes. Cette fois, le bienveillant a souhaité rester anonyme. Mais merci quand même d'avoir partagé la texture.
Cian.ru est un site positionné comme "une base de données fiable sur la vente et la location de biens immobiliers résidentiels, suburbains et commerciaux" et appartient au CIAN. Groupe ". Les ressources de cette société sont très appréciées. La société déclare être le «Leader de l'immobilier en ligne en Russie (en termes de nombre de visites sur le site cian.ru par les internautes selon les données LiveInternet dans la section Immobilier au 12 mars 2020). Tout cela se trouve au sous-sol du site. Une autre chose est intéressante.
Il y a quelques années, des questions ont commencé à apparaître sur le Web concernant une nouvelle exigence de la ressource: l'utilisateur doit télécharger son passeport. Un rapide google nous amène directement à la section de référence , qui répertorie les étapes nécessaires à l'identification et explique pourquoi c'est bon.
Cependant, les utilisateurs ont exprimé des inquiétudes (un , deux , trois , etc.), car l'ensemble de données comprend au moins les données du passeport + un scan du passeport russe + une photo avec un passeport ouvert en main. Ceci est pour les particuliers. Si vous êtes un entrepreneur individuel ou une personne morale, vous avez besoin d'encore plus de données.
Mais assez de paroles. Voyons ce qui se passe si l'utilisateur soumet simplement une annonce pour la vente d'un appartement.
Fable
Nous surveillerons les actions via notre DLP. L'interception depuis les modules HTTPController et MonitorController est particulièrement intéressante. Je pense que le nom indique clairement que chacun d'eux intercepte. Je m'excuse par avance pour la qualité des captures d'écran. Pour le moment, aucun des employés ne vend un appartement, ils n'ont donc pas pu reproduire complètement le cas. Nous allons montrer et expliquer sur le système "combat".
Alors, trions l'interception de deux canaux par heure afin de voir clairement la chronologie des actions.
Action 1. Une personne visite cian.ru et commence à soumettre une annonce. On peut voir dans l'interception sur http que les photos ont volé. 4 pièces (lignes 6-9 sur la capture d'écran).
Vous pouvez immédiatement, sans quitter la caisse, regarder la pièce jointe qui a volé vers cian.ru. Nous nous assurons que les photos de l'intérieur de l'appartement sont chargées.
L'interception de MonitorController (ligne # 10) confirme tout. Le navigateur est visible, 4 photos téléchargées sont visibles, les mêmes photos sont visibles dans le corps de l'annonce.
Action 2. Un moment intéressant arrive. Après avoir téléchargé une photo, différents packages volent vers différents endroits. Quelque chose sur l'API cyan, quelque chose sur mail.ru, quelque chose sur facebook. Pourquoi? Je ne sais pas. Mais aucun crime évident n'a été trouvé ici. Enfin, il arrive un moment où l'étape de vérification d'identité apparaît.
Certains lecteurs peuvent se demander, comment est-ce si réussi et au bon moment, le système fait des captures d'écran? C'est simple. MonitorController a une option "Créer un écran lors du changement de fenêtre active". Ici, nous voyons une telle situation: une personne appuie sur un bouton pour ajouter une photo, une fenêtre s'ouvre, le système réagit. Pas de sorcellerie.
Regardons de plus près l'écran.
Si vous avez suivi de près, vous vous souviendrez peut-être que cet écran était sur la ligne 27. Quelle est la prochaine chronologie? La ligne 28 est pressée de tuer l'intrigue - l'homme a ajouté son passeport. Mais!
Regardez
Le dernier espoir demeure. Peut-être que ce service traite les images en Russie? Je voudrais jeter des preuves de façon spectaculaire dans la salle, mais pour être honnête, vous devez être à la fin. Dans ce cas, notre DLP a fixé l'adresse du serveur proxy comme IP de destination.
Par conséquent, je vous suggère de vous assurer vous-même lorsque vos passeports s'envolent lorsque vous soumettez des annonces. Pour ma part, je peux saisir la commande "ping -a", qui a émis "104.26.10.41".
En général, lors de ces vacances sysadmin lumineuses, qui sont aussi vendredi (!), J'aimerais croire que je me suis trompé ou mal compris quelque part. Eh bien, dans ce cas, je serai prêt à saupoudrer de cendres sur ma tête, à m'excuser publiquement et à enseigner le matériel. En attendant, j'exhorte la communauté à vérifier indépendamment les faits déclarés et, si possible, à partager les résultats.