[Информационная безопасность] Очень странные дела при подаче объявлений на ЦИАН

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
31-Июл-2020 16:36

TL;DR При загрузке паспорта на сайт cian.ru он «улетает» к заграничному сервису распознавания лиц на api.sumsub.com
Преамбула
И снова здравствуйте. Возможно шапочка из фольги снова давит голову, но есть вопросы и подозрения, которыми хотелось бы поделиться с вами. В одном из прошлых постов была показана странная и спорная «фича» в почтовике mail.ru. Новый день принёс новые открытия. На этот раз доброжелатель пожелал остаться анонимным. Но всё равно спасибо ему за то, что поделился фактурой.
Cian.ru – сайт, позиционирующийся как «достоверная база данных о продаже и аренде жилой, загородной и коммерческой недвижимости» и принадлежащий «ЦИАН. Групп». Ресурсы этой компании довольно популярны. Компания заявляет, что она – «Лидер онлайн-недвижимости России (по количеству посещений сайта cian.ru пользователями сети Интернет по данным LiveInternet в разделе «Недвижимость» по состоянию на 12 марта 2020 г.). Всё это есть в подвале сайта. Интересно другое.
Пару лет назад в Сети начали появляться вопросы относительно нового требования от ресурса: пользователь должен загрузить свой паспорт. Беглый гуглёж сразу приводит нас в справочный раздел, где перечислены необходимые действия для идентификации и поясняется, почему это хорошо.
Тем не менее, пользователи выказывали опасения (раз, два, трии т.д.), т.к. набор данных состоит как минимум из паспортных данных + скан паспорта РФ + фото с раскрытым паспортом в руке. Это для физлиц. Если вы ИП или Юрлицо, данных нужно ещё больше.
Но довольно лирики. Посмотрим, что будет, если пользователь просто подаёт объявление на продажу квартиры.
Фабула
Смотреть действия будем через нашу DLP. Интерес в первую очередь представляет перехват с модулей HTTPController и MonitorController. Думаю, из названия понятно, что каждый из них перехватывает. Заранее прошу прощения за качество скринов. На данный момент никто из сотрудников квартиру не продаёт, поэтому полностью воспроизвести кейс у себя не смогли. Показывать и пояснять будем на «боевой» системе.
Итак, отсортируем перехват с двух каналов по времени, чтобы чётко видеть хронологию действий.
Действие 1. Человек заходит на cian.ru, начинает подавать объявление. Видно в перехвате по http, что полетели фото. 4 штуки (строки №6-9 на скриншоте).

Сразу же можно, не отходя от кассы, посмотреть вложение, которое улетело к cian.ru. Убеждаемся, что грузятся фото интерьера квартиры.

Перехват MonitorController’a (строка №10) всё подтверждает. Виден браузер, видны 4 загруженных фото, видны эти же фото в теле объявления.

Действие 2. Наступает интересный момент. После загрузки фото летят разные пакеты да по разным местам. Что-то на api циана, что-то в mail.ru, что-то в facebook. Зачем? Не знаю. Но явного криминала тут не нашли. Наконец, наступает момент, когда появляется шаг с подтверждением личности.

Некоторые читатели возможно задаются вопросом, а как это так удачно и в нужное время система скрины делает? Всё просто. У MonitorController’a есть опция «Делать скрин при смене активного окна». Здесь мы видим как раз такую ситуацию: человек нажимает кнопку, чтобы добавить фото, открывается окно, система реагирует. Никакого колдунства.
Взглянем на скрин поближе.

Если вы следили внимательно, то могли запомнить, что этот скрин находился на строке №27. Что же дальше по хронологии? Строка №28 спешит убить интригу – человек добавил свой паспорт. Но!

Вы только посмотрите, что творят канадцы! Паспорт улетает на api.sumsub.com. Можно убедиться, открыв в перехвате сам файл.

Осталась последняя надежда. Может этот сервис обрабатывает изображения в России? Хотелось бы драматически бросить в зал доказательства, но если быть честным, то надо быть им до конца. В данном случае наша DLP в качестве IP получателя фиксировала адрес прокси-сервера.
Поэтому предлагаю самим вам убедиться, когда улетают ваши паспорта при подаче объявлений. Со своей стороны могу в команду «ping –a», которая выдала «104.26.10.41».

В целом, в этот светлый сисадминский праздник, который к тому же ещё и пятница(!) хотелось бы верить в то, что я где-то ошибся или недопонял. Что ж, в таком случае, готов буду посыпать голову пеплом, публично извиняться и учить матчасть. А пока, призываю сообщество самостоятельно проверить изложенные факты и по возможности поделиться результатами.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_informatsionnaja_bezopasnost (информационная безопасность), #_utechka_informatsii (утечка информации), #_personalnye_dannye (персональные данные), #_blog_kompanii_searchinform (
Блог компании SearchInform
)
, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 23-Ноя 01:05
Часовой пояс: UTC + 5