أشياء غريبة جدا عند إرسال الإعلانات

محدث. كما كتبت في نهاية المنشور - إذا أظهروا لي أين أخطأت ، فسوف أرش الرماد على رأسي.

يجب أن نشيد بأخصائيي Cyan - لقد تفاعلوا بسرعة كبيرة ووضعوا كل شيء على الرفوف. فيما يلي تفسيراتهم دون تغييرات:



أوليغ ماسلنيكوف ، مهندس الأمن السماوي:



"أنا منخرط في الأمن في السيان ، أود أن ألفت انتباهك إلى اثنين من الأخطاء الواقعية والتقنية في المقالة. أولاً ، يُقال إن البيانات "تتلاشى" وتتم معالجتها بواسطة خدمة خارجية. هذا ليس صحيحا. نستخدم Sumsub ، وهي منظمة عالمية مقرها الرئيسي في لندن ومكاتب في PM في روسيا ، وتعمل وفقًا لقوانين الاتحاد الروسي.

تتم معالجة جوازات السفر الروسية من قبل الكيان القانوني الروسي للشركة ، Digital Security Technologies LLC (sumsub.ru).

معلومات التخزين:

- رابط إلى القسم ذي الصلة من الموقع: sumsub.ru/security

- التخزين وفقًا لمتطلبات RKN: وفقًا للإخطار المرسل إلى RKN ، يتم تخزين البيانات الشخصية في مركز البيانات التابع لشركة Selectel.



- تم تضمين شركة Digital Security Technologies LLC في سجل مشغلي PD في Roscoomnadzor.

ثانيًا ، حول حقيقة أن البيانات تذهب إلى خادم موجود فعليًا في أمريكا. يستخدم Sumsub نظام CloudFlare لحماية المواقع والخدمات. CloudFlare هو وكيل ، لذلك لديهم دائمًا نفس عنوان IP ، لكن مسار البيانات ينتقل إلى أقرب DC. هناك نوعان من هذه المراكز في روسيا - في موسكو وسانت بطرسبرغ. يمكنك بسهولة التحقق من هذا المسار باستخدام traceroute ".



سأضيف أن قسم الأمن في cian.ru اتضح أنه مفتوح بشكل مدهش وجاهز لمناقشة القضايا الأمنية.



TL؛ DR عندما يتم تحميل جواز السفر على موقع cian.ru ، فإنه "ينتقل" إلى خدمة التعرف على الوجوه الأجنبية على api.sumsub.com

الديباجة

مرحبا مجددا. ربما تضغط قبعة ورق الألمنيوم على رأسك مرة أخرى ، لكن هناك أسئلة وشكوك أود مشاركتها معك. في إحدى المشاركات السابقة ، تم عرض "ميزة" غريبة ومثيرة للجدل في بريد mail.ru. يوم جديد جلب اكتشافات جديدة. هذه المرة ، تمنى الراغب عدم الكشف عن هويته. لكن شكرا على أي حال لمشاركة النسيج.



Cian.ru هو موقع تم وضعه كـ "قاعدة بيانات موثوقة حول بيع وتأجير العقارات السكنية والضواحي والتجارية" وينتمي إلى CIAN. مجموعة ". تحظى موارد هذه الشركة بشعبية كبيرة. تعلن الشركة أنها "رائدة العقارات عبر الإنترنت في روسيا (من حيث عدد الزيارات إلى موقع cian.ru من قبل مستخدمي الإنترنت وفقًا لبيانات LiveInternet في قسم العقارات اعتبارًا من 12 مارس 2020). كل هذا في قبو الموقع. شيء آخر مثير للاهتمام.



منذ عامين ، بدأت الأسئلة تظهر على الويب بخصوص مطلب جديد من المورد: يجب على المستخدم تحميل جواز سفره. يقودنا google السريع مباشرة إلى قسم المراجع ، الذي يسرد الخطوات الضرورية لتحديد الهوية ويشرح سبب كونها جيدة.



ومع ذلك ، أعرب المستخدمون عن مخاوفهم (واحد ، اثنان ، ثلاثة ، إلخ) ، لأن تتكون مجموعة البيانات من بيانات جواز السفر على الأقل + مسح لجواز سفر RF + صورة بجواز سفر مفتوح في متناول اليد. هذا للأفراد. إذا كنت رائد أعمال فرديًا أو كيانًا قانونيًا ، فأنت بحاجة إلى المزيد من البيانات.



لكن يكفي من الكلمات. دعونا نرى ما يحدث إذا أرسل المستخدم إعلانًا لبيع شقة.

خرافة

سنراقب الإجراءات من خلال DLP الخاص بنا. يعتبر الاعتراض من وحدتي HTTPController و MonitorController ذا أهمية في المقام الأول. أعتقد أن الاسم يوضح أن كل واحد منهم يعترض. أعتذر مقدمًا عن جودة الصور. في الوقت الحالي ، لا يبيع أي من الموظفين شقة ، لذا لا يمكنهم إعادة إنتاج القضية بشكل كامل. سنعرض وشرح نظام "القتال".



لذلك ، دعونا نفرز التقاطع من قناتين حسب الوقت من أجل رؤية التسلسل الزمني للأفعال بوضوح.



الإجراء 1. يقوم شخص بزيارة موقع cian.ru ويبدأ في إرسال إعلان. يمكن أن نرى في اعتراض http أن الصور حلقت. 4 قطع (الأسطر 6-9 في لقطة الشاشة).







يمكنك على الفور ، دون مغادرة الخروج ، إلقاء نظرة على المرفق الذي طار إلى cian.ru. نتأكد من تحميل الصور الداخلية للشقة.







يؤكد اعتراض MonitorController (السطر رقم 10) كل شيء. المتصفح مرئي ، 4 صور تم تحميلها مرئية ، نفس الصور مرئية في نص الإعلان.







العمل 2. تأتي لحظة مثيرة للاهتمام. بعد تحميل الصورة ، تنتقل الحزم المختلفة إلى أماكن مختلفة. شيء ما على api السماوي ، شيء ما على mail.ru ، شيء ما على facebook. لاجل ماذا؟ لا اعرف. لكن لم يتم العثور على جريمة واضحة هنا. أخيرًا ، تأتي نقطة تظهر فيها خطوة التحقق من الهوية.







قد يتساءل بعض القراء ، كيف يكون ناجحًا جدًا وفي الوقت المناسب يقوم النظام بعمل لقطات شاشة؟ انه سهل. MonitorController لديه خيار "إنشاء شاشة عند تغيير النافذة النشطة". هنا نرى مثل هذا الموقف: يضغط الشخص على زر لإضافة صورة ، تفتح نافذة ، يتفاعل النظام. ممنوع السحر.



دعنا نلقي نظرة فاحصة على الشاشة.







إذا تابعت عن كثب ، فقد تتذكر أن هذه الشاشة كانت على السطر رقم 27. ما التالي في التسلسل الزمني؟ الخط رقم 28 في عجلة من أمره لقتل المؤامرة - أضاف الرجل جواز سفره. لكن!







انظر فقط إلى ما يفعله الكنديون ! ينتقل جواز السفر إلى api.sumsub.com. يمكنك التأكد عن طريق فتح الملف نفسه في الاعتراض.







يبقى الأمل الأخير. ربما تعالج هذه الخدمة الصور في روسيا؟ أود إلقاء الأدلة بشكل كبير في القاعة ، ولكن لكي أكون صادقًا ، عليك أن تكون كذلك حتى النهاية. في هذه الحالة ، قام DLP الخاص بنا بإصلاح عنوان الخادم الوكيل كعنوان IP الوجهة.



لذلك ، أقترح عليك أن تتأكد بنفسك عندما تطير جوازات سفرك بعيدًا عند إرسال الإعلانات. من ناحيتي ، يمكنني إدخال الأمر "ping -a" ، الذي أصدر "104.26.10.41".







بشكل عام ، في عطلة مسؤول النظام هذه ، وهي أيضًا يوم الجمعة (!) أود أن أصدق أنني كنت مخطئًا أو أسيء فهمي في مكان ما. حسنًا ، في هذه الحالة ، سأكون مستعدًا لرش الرماد على رأسي ، والاعتذار علنًا وتعليم العتاد. في غضون ذلك ، أحث المجتمع على التحقق بشكل مستقل من الحقائق المذكورة ، وإذا أمكن ، مشاركة النتائج.