Kita harus memberi penghormatan kepada para spesialis Cyan - mereka bereaksi sangat cepat dan meletakkan semuanya di rak. Berikut adalah penjelasan mereka tanpa perubahan:
Oleg Maslennikov, Arsitek Keamanan Cyan:
“Saya terlibat dalam keamanan di Cyan, saya ingin menarik perhatian Anda pada beberapa kesalahan faktual dan teknis dalam artikel ini. Pertama, dikatakan bahwa data "terbang menjauh" dan diproses oleh layanan luar negeri. Ini tidak benar. Kami menggunakan Sumsub, sebuah organisasi global dengan kantor pusat di London dan berkantor di PM di Rusia, beroperasi sesuai dengan hukum Federasi Rusia.
Paspor Rusia diproses oleh badan hukum perusahaan Rusia, Digital Security Technologies LLC (sumsub.ru).
Informasi penyimpanan:
- Tautan ke bagian situs yang relevan : sumsub.ru/security
- Penyimpanan sesuai dengan persyaratan RKN: sesuai dengan pemberitahuan yang dikirim ke RKN, data pribadi disimpan di pusat data perusahaan Selectel.
- Digital Security Technologies LLC termasuk dalam daftar PD Operator di Roscoomnadzor.
Kedua, tentang fakta bahwa data tersebut masuk ke server yang secara fisik berlokasi di Amerika. Sumsub menggunakan sistem CloudFlare untuk melindungi situs dan layanan. CloudFlare adalah proxy, jadi mereka selalu memiliki IP yang sama, tetapi rute datanya menuju ke DC terdekat. Ada dua DC serupa di Rusia - di Moskow dan St. Petersburg. Anda dapat dengan mudah memeriksa rute ini dengan traceroute. "
Saya akan menambahkan bahwa departemen keamanan cian.ru ternyata sangat terbuka dan siap untuk membahas masalah keamanan.
TL; DR Saat mengunggah paspor ke situs cian.ru, itu "terbang" ke layanan pengenalan wajah asing di api.sumsub.com
Pembukaan
Halo lagi. Mungkin topi kertas timah kembali menekan kepala Anda, namun ada pertanyaan dan kecurigaan yang ingin saya sampaikan kepada Anda. Di salah satu posting sebelumnya , "fitur" yang aneh dan kontroversial di mailer mail.ru ditampilkan. Hari baru membawa penemuan baru. Kali ini, orang yang mengucapkan selamat ingin tetap anonim. Tapi terima kasih telah membagikan teksturnya.
Cian.ru adalah situs yang diposisikan sebagai "database yang dapat diandalkan tentang penjualan dan penyewaan real estat perumahan, pinggiran kota, dan komersial" dan merupakan milik CIAN. Grup ". Sumber daya perusahaan ini cukup populer. Perusahaan menyatakan bahwa itu adalah “Pemimpin real estate online di Rusia (dalam hal jumlah kunjungan ke situs cian.ru oleh pengguna Internet menurut data LiveInternet di bagian Real Estate per 12 Maret 2020). Semua ini ada di ruang bawah tanah situs. Hal lain yang menarik.
Beberapa tahun yang lalu, pertanyaan mulai muncul di Web mengenai persyaratan baru dari sumber daya: pengguna harus mengunggah paspornya. Sebuah google cepat membawa kita langsung ke referensi bagian , yang berisi langkah-langkah yang diperlukan untuk identifikasi dan menjelaskan mengapa hal itu baik.
Namun, pengguna menyatakan keprihatinan (satu , dua , tiga , dll.), karena dataset terdiri dari setidaknya data paspor + scan paspor Rusia + foto dengan paspor terbuka di tangan. Ini untuk individu. Jika Anda seorang pengusaha perorangan atau badan hukum, Anda membutuhkan lebih banyak data.
Tapi cukup liriknya. Mari kita lihat apa yang terjadi jika pengguna hanya mengirimkan iklan untuk penjualan apartemen.
Fabel
Kami akan menonton tindakan melalui DLP kami. Intersepsi dari modul HTTPController dan MonitorController sangat menarik. Saya pikir namanya memperjelas bahwa masing-masing penyadapan. Saya mohon maaf sebelumnya atas kualitas tangkapan layar. Saat ini, tidak ada karyawan yang menjual apartemen, sehingga mereka tidak dapat mereproduksi kasus tersebut sepenuhnya. Kami akan menunjukkan dan menjelaskan tentang sistem "pertempuran".
Jadi, mari kita urutkan intersepsi dari dua saluran berdasarkan waktu untuk melihat dengan jelas kronologi tindakan.
Tindakan 1. Seseorang mengunjungi cian.ru dan mulai mengirimkan iklan. Dapat dilihat pada intersepsi di http bahwa foto-foto itu beterbangan. 4 buah (baris 6-9 di tangkapan layar).
Anda dapat langsung, tanpa meninggalkan kasir, melihat lampiran yang terbang ke cian.ru. Kami memastikan bahwa foto interior apartemen dimuat.
Intersepsi MonitorController (baris # 10) mengkonfirmasi semuanya. Browser terlihat, 4 foto yang diupload terlihat, foto yang sama terlihat di badan iklan.
Tindakan 2. Momen menarik datang. Setelah mengunggah foto, paket yang berbeda terbang ke tempat yang berbeda. Sesuatu di api cyan, sesuatu di mail.ru, sesuatu di facebook. Untuk apa? Saya tidak tahu. Tapi tidak ada kejahatan yang jelas ditemukan di sini. Akhirnya, tibalah saatnya langkah verifikasi identitas muncul.
Beberapa pembaca mungkin bertanya-tanya, bagaimana ini bisa begitu sukses dan pada saat yang tepat sistem membuat tangkapan layar? Itu mudah. MonitorController memiliki opsi "Buat layar saat mengubah jendela aktif". Di sini kita melihat situasi seperti itu: seseorang menekan tombol untuk menambahkan foto, jendela terbuka, sistem bereaksi. Tidak ada sihir.
Mari kita lihat lebih dekat ke layar.
Jika Anda mengikutinya dengan cermat, Anda mungkin ingat bahwa layar ini pada baris # 27. Apa kronologi selanjutnya? Baris # 28 sedang terburu-buru untuk membunuh intrik - pria itu menambahkan paspornya. Tapi!
Lihat saja
Harapan terakhir tetap ada. Mungkin layanan ini memproses gambar di Rusia? Saya ingin secara dramatis memberikan bukti ke aula, tetapi jujur saja, Anda harus melakukannya sampai akhir. Dalam kasus ini, DLP kami memperbaiki alamat server proxy sebagai IP tujuan.
Karena itu, saya sarankan Anda memastikan sendiri kapan paspor Anda terbang saat mengirimkan iklan. Bagi saya, saya bisa memasukkan perintah "ping –a", yang mengeluarkan "104.26.10.41".
Secara umum, pada hari libur sysadmin yang cerah ini, yang juga hari Jumat (!) Saya ingin percaya bahwa saya salah atau disalahpahami di suatu tempat. Nah, dalam hal ini, saya akan siap untuk menaburkan abu di kepala saya, meminta maaf secara terbuka dan mengajar materi. Sementara itu, saya mengimbau masyarakat untuk secara mandiri memverifikasi fakta-fakta yang disebutkan dan, jika memungkinkan, membagikan hasilnya.