Debemos rendir homenaje a los especialistas de Cyan: reaccionaron muy rápido y pusieron todo en los estantes. Aquí están sus explicaciones sin cambios:
Oleg Maslennikov, arquitecto de Cyan Security:
“Estoy comprometido con la seguridad en Cyan, me gustaría llamar su atención sobre un par de errores fácticos y técnicos en el artículo. En primer lugar, se argumenta que los datos “se pierden” y son procesados por un servicio extranjero. Esto no es verdad. Usamos Sumsub, una organización global con sede en Londres y oficinas en PM en Rusia, que opera de acuerdo con las leyes de la Federación Rusa.
Los pasaportes rusos son procesados por la entidad legal rusa de la compañía, Digital Security Technologies LLC (sumsub.ru).
Información de almacenamiento:
- Enlace a la sección correspondiente del sitio: sumsub.ru/security
- Almacenamiento según los requisitos de la RKN: de acuerdo con la notificación enviada a la RKN, los datos personales se almacenan en el centro de datos de la empresa Selectel.
- Digital Security Technologies LLC está incluida en el registro de Operadores de DP de Roscoomnadzor.
En segundo lugar, sobre el hecho de que los datos van a un servidor que se encuentra físicamente en Estados Unidos. Sumsub utiliza el sistema CloudFlare para proteger sitios y servicios. CloudFlare es un proxy, por lo que siempre tienen la misma IP, pero la ruta de datos va al DC más cercano. Hay dos países en desarrollo de este tipo en Rusia: Moscú y San Petersburgo. Puede comprobar fácilmente esta ruta con traceroute ".
Agregaré que el departamento de seguridad de cian.ru resultó ser sorprendentemente abierto y listo para discutir temas de seguridad.
TL; DR Al cargar un pasaporte en el sitio cian.ru, "vuela" al servicio de reconocimiento facial extranjero en api.sumsub.com
Preámbulo
Hola de nuevo. Quizás el sombrero de papel de estaño te presiona la cabeza nuevamente, pero hay preguntas y sospechas que me gustaría compartir contigo. En una de las publicaciones anteriores , se mostró una "característica" extraña y controvertida en el mailer mail.ru. Un nuevo día trajo nuevos descubrimientos. Esta vez, el simpatizante quiso permanecer en el anonimato. Pero gracias de todos modos por compartir la textura.
Cian.ru es un sitio posicionado como "una base de datos confiable sobre la venta y arrendamiento de inmuebles residenciales, suburbanos y comerciales" y pertenece a CIAN. Grupo ". Los recursos de esta empresa son bastante populares. La empresa declara que es el “Líder de bienes raíces en línea en Rusia (en términos del número de visitas al sitio web cian.ru por parte de los usuarios de Internet según los datos de LiveInternet en la sección de Bienes Raíces al 12 de marzo de 2020). Todo esto está en el sótano del sitio. Otra cosa es interesante.
Hace un par de años empezaron a aparecer preguntas en la Web sobre un nuevo requisito del recurso: el usuario debe subir su pasaporte. Un google rápido nos lleva directamente a la sección de referencia , que enumera los pasos necesarios para la identificación y explica por qué es bueno.
Sin embargo, los usuarios expresaron preocupaciones (uno , dos , tres , etc.), porque el conjunto de datos consta de al menos datos de pasaporte + un escaneo del pasaporte ruso + una foto con un pasaporte abierto en la mano. Esto es para individuos. Si es un empresario individual o una entidad legal, necesita aún más datos.
Pero basta de letras. Veamos qué sucede si el usuario solo envía un anuncio para la venta de un apartamento.
Fábula
Vigilaremos las acciones a través de nuestro DLP. La interceptación de los módulos HTTPController y MonitorController es de interés principalmente. Creo que el nombre deja claro que cada uno de ellos intercepta. Me disculpo de antemano por la calidad de las capturas de pantalla. Por el momento, ninguno de los empleados está vendiendo un apartamento, por lo que no pudieron reproducir el caso por completo. Mostraremos y explicaremos sobre el sistema de "combate".
Entonces, clasifiquemos la interceptación de dos canales por tiempo para ver claramente la cronología de las acciones.
Acción 1. Una persona visita cian.ru y comienza a enviar un anuncio. Se puede ver en la interceptación en http que las fotos volaron. 4 piezas (líneas 6-9 en la captura de pantalla).
Puede inmediatamente, sin salir de la caja, mirar el archivo adjunto que voló a cian.ru. Nos aseguramos de que se carguen las fotos del interior del apartamento.
La intercepción de MonitorController (línea # 10) confirma todo. El navegador es visible, 4 fotos cargadas son visibles, las mismas fotos son visibles en el cuerpo del anuncio.
Acción 2. Llega un momento interesante. Después de cargar una foto, diferentes paquetes vuelan a diferentes lugares. Algo en la API cian, algo en mail.ru, algo en Facebook. ¿Para qué? Yo no sé. Pero no se encontró ningún delito obvio aquí. Finalmente, llega un punto en el que aparece el paso de verificación de identidad.
Algunos lectores pueden preguntarse, ¿cómo es tan exitoso y en el momento adecuado el sistema hace capturas de pantalla? Es simple. MonitorController tiene una opción "Hacer una pantalla al cambiar la ventana activa". Aquí vemos una situación de este tipo: una persona presiona un botón para agregar una foto, se abre una ventana, el sistema reacciona. Sin brujería.
Echemos un vistazo más de cerca a la pantalla.
Si lo siguió de cerca, es posible que recuerde que esta pantalla estaba en la línea # 27. ¿Qué sigue en cronología? La línea 28 tiene prisa por acabar con la intriga: el hombre agregó su pasaporte. ¡Pero!
¡Mire
Queda la última esperanza. ¿Quizás este servicio procesa imágenes en Rusia? Me gustaría arrojar pruebas dramáticamente al pasillo, pero para ser honesto, tienes que serlo hasta el final. En este caso, nuestro DLP fijó la dirección del servidor proxy como IP de destino.
Por lo tanto, le sugiero que se asegure por sí mismo cuando sus pasaportes se vayan volando al enviar anuncios. Por mi parte, puedo ingresar el comando "ping –a", que emitió "104.26.10.41".
En general, en este brillante día festivo del administrador de sistemas, que también es viernes (!), Me gustaría creer que me equivoqué o me malinterpretaron en alguna parte. Bueno, en ese caso, estaré listo para esparcir cenizas en mi cabeza, disculparme públicamente y enseñar material. Mientras tanto, insto a la comunidad a verificar de forma independiente los hechos declarados y, si es posible, compartir los resultados.