Очень странные дела при подаче объявлений

    UPD. Как и писал в конце поста – если мне покажут, где я ошибся, я посыплю голову пеплом.
    Нужно отдать должное специалистам Циан – очень быстро отреагировали и разложили все по полочкам. Привожу их объяснения без изменений:

    Олег Масленников, Архитектор ИБ Циан:

    «Занимаюсь безопасностью в Циан, хочу обратить внимание на пару фактических и технических ошибок в статье. Во-первых, утверждается, что данные «улетают» и обрабатываются заграничным сервисом. Это не так. Мы используем компанию Sumsub, это глобальная организация с HQ в Лондоне и офисами в тч в России, работающая в соответствии с законодательством Российской Федерации.
    Российские паспорта обрабатываются российским юридическим лицом компании, ООО «Технологии цифровой безопасности» (sumsub.ru).
    Информация о хранении:
    — Ссылка на соответствующий раздел сайта: sumsub.ru/security
    — Хранение по требованиям РКН: в соответствии с уведомлением, отправленным в РКН, персональные данные хранятся в ЦОДе компании «Селектел».

    — ООО «Технологии цифровой безопасности» внесена в реестр Операторов ПДн Роскоомнадзора.
    Во-вторых, про то, что данные уходят на сервер, который физически находится в Америке. Для защиты сайтов и сервисов Sumsub использует систему CloudFlare. CloudFlare является прокси, поэтому у них всегда один IP, но маршрут данных, при этом, идет в ближайший ДЦ. В России таких ДЦ два – в Москве и Санкт-Петербурге. Вы можете легко проверить этот маршрут с помощью traceroute.»

    Добавлю, что подразделение безопасности cian.ru оказалось на удивление открытым и готовым обсуждать вопросы по безопасности.

    TL;DR При загрузке паспорта на сайт cian.ru он «улетает» к заграничному сервису распознавания лиц на api.sumsub.com

    Преамбула


    И снова здравствуйте. Возможно шапочка из фольги снова давит голову, но есть вопросы и подозрения, которыми хотелось бы поделиться с вами. В одном из прошлых постов была показана странная и спорная «фича» в почтовике mail.ru. Новый день принёс новые открытия. На этот раз доброжелатель пожелал остаться анонимным. Но всё равно спасибо ему за то, что поделился фактурой.

    Cian.ru – сайт, позиционирующийся как «достоверная база данных о продаже и аренде жилой, загородной и коммерческой недвижимости» и принадлежащий «ЦИАН. Групп». Ресурсы этой компании довольно популярны. Компания заявляет, что она – «Лидер онлайн-недвижимости России (по количеству посещений сайта cian.ru пользователями сети Интернет по данным LiveInternet в разделе «Недвижимость» по состоянию на 12 марта 2020 г.). Всё это есть в подвале сайта. Интересно другое.

    Пару лет назад в Сети начали появляться вопросы относительно нового требования от ресурса: пользователь должен загрузить свой паспорт. Беглый гуглёж сразу приводит нас в справочный раздел, где перечислены необходимые действия для идентификации и поясняется, почему это хорошо.

    Тем не менее, пользователи выказывали опасения (раз, два, три и т.д.), т.к. набор данных состоит как минимум из паспортных данных + скан паспорта РФ + фото с раскрытым паспортом в руке. Это для физлиц. Если вы ИП или Юрлицо, данных нужно ещё больше.

    Но довольно лирики. Посмотрим, что будет, если пользователь просто подаёт объявление на продажу квартиры.

    Фабула


    Смотреть действия будем через нашу DLP. Интерес в первую очередь представляет перехват с модулей HTTPController и MonitorController. Думаю, из названия понятно, что каждый из них перехватывает. Заранее прошу прощения за качество скринов. На данный момент никто из сотрудников квартиру не продаёт, поэтому полностью воспроизвести кейс у себя не смогли. Показывать и пояснять будем на «боевой» системе.

    Итак, отсортируем перехват с двух каналов по времени, чтобы чётко видеть хронологию действий.

    Действие 1. Человек заходит на cian.ru, начинает подавать объявление. Видно в перехвате по http, что полетели фото. 4 штуки (строки №6-9 на скриншоте).

    image

    Сразу же можно, не отходя от кассы, посмотреть вложение, которое улетело к cian.ru. Убеждаемся, что грузятся фото интерьера квартиры.

    image

    Перехват MonitorController’a (строка №10) всё подтверждает. Виден браузер, видны 4 загруженных фото, видны эти же фото в теле объявления.

    image

    Действие 2. Наступает интересный момент. После загрузки фото летят разные пакеты да по разным местам. Что-то на api циана, что-то в mail.ru, что-то в facebook. Зачем? Не знаю. Но явного криминала тут не нашли. Наконец, наступает момент, когда появляется шаг с подтверждением личности.

    image

    Некоторые читатели возможно задаются вопросом, а как это так удачно и в нужное время система скрины делает? Всё просто. У MonitorController’a есть опция «Делать скрин при смене активного окна». Здесь мы видим как раз такую ситуацию: человек нажимает кнопку, чтобы добавить фото, открывается окно, система реагирует. Никакого колдунства.

    Взглянем на скрин поближе.

    image

    Если вы следили внимательно, то могли запомнить, что этот скрин находился на строке №27. Что же дальше по хронологии? Строка №28 спешит убить интригу – человек добавил свой паспорт. Но!

    image

    Вы только посмотрите, что творят канадцы! Паспорт улетает на api.sumsub.com. Можно убедиться, открыв в перехвате сам файл.

    image

    Осталась последняя надежда. Может этот сервис обрабатывает изображения в России? Хотелось бы драматически бросить в зал доказательства, но если быть честным, то надо быть им до конца. В данном случае наша DLP в качестве IP получателя фиксировала адрес прокси-сервера.

    Поэтому предлагаю самим вам убедиться, когда улетают ваши паспорта при подаче объявлений. Со своей стороны могу в команду «ping –a», которая выдала «104.26.10.41».

    image

    В целом, в этот светлый сисадминский праздник, который к тому же ещё и пятница(!) хотелось бы верить в то, что я где-то ошибся или недопонял. Что ж, в таком случае, готов буду посыпать голову пеплом, публично извиняться и учить матчасть. А пока, призываю сообщество самостоятельно проверить изложенные факты и по возможности поделиться результатами.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 11

      +2

      13.11 КОАП РФ — это надо в роскомпозор писать

        0
        Берите выше. Это ст. 137 УК РФ и ст. 12 «Трансграничная передача персональных данных» из 152-ФЗ «О персональных данных»
        –5
        Вы загрузили свой паспорт в интернет незнакомо кому, с которым у вас нет никаких официальных отношений. И выясняете какой конкретно IP там фигурирует? Ну-ну.
          0
          Не в интернет, а оператору ПДн. Юзер может быть идиотом и слать паспорт куда угодно, но 152-ФЗ однозначно возлагает на ЦИАН кое-какие обязательства

          «Оператор ПДн –… юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

          … указанные органы и лица являются операторами независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).»

          ЦИАН, судя по всему, отправляет паспорта за пределы РФ, а значит сильно нарушает 152-ФЗ, попадает на семизначные штрафы и пересмотр своей инфраструктуры
          +1
          Приветствую, вчера размещал объявление о продаже, сервис не требовал паспорт, даже фио не спросил — сразу опубликовал.
            +1
            При загрузке паспорта на сайт cian.ru он «улетает» к заграничному сервису распознавания лиц на api.sumsub.com

            И что конкретно вам давит на голову? С точки зрения бизнеса происходящее полностью понятно: SumSub — это компания, которая умеет распознавать документы, удостоверяющие личность, в том числе и из России. Так что если вы вообще согласны с идеей, что ЦИАНу нужны ваши документы, ничего ни странного, ни страшного в этом вызове нет.


            Проблемы там есть либо с точки зрения доверия самому SumSub (у которых есть всякие там сертификации, если для вас это что-то значит), либо с той точки зрения, что ваши персданные улетели зарубеж, (возможно) нарушая наше законодательство.

              +5
              в этот светлый сисадминский праздник, который к тому же ещё и пятница(!)
              Я тоже каждый год удивляюсь, как так удачно выходит, что праздник выпадает на последнюю пятницу июля.
                +1
                Если проксируется через CloudFlare, что этой иностранной организации мешает собирать дополнительную информацию?
                  0

                  Это адрес Cloudflare, у него есть точка присутствия в Москве, поэтому то, что адрес определяется как американский, не означает, что данные передаются за рубеж физически. Но то, что доступ к ним имеет зарубежная компания — это сомнительно в любом случае.
                  По сайту видно, что компания международная, но в руководстве есть русские, и офис в Петербурге есть — может быть, они передают данные с Cloudflare туда.

                    0
                    А вот интересно DLP вашу вообще можно как то получить в варианте «для себя» — несколько клиентских устройств. Смотреть такую аналитику по себе иногда полезно.
                      0
                      vikarti, мы не предоставляем софт для физических лиц, потому что «на пару машин» выйдет дороговато. Даже если не брать в расчет стоимость ПО (2-3 лицензии может позволить себе и физлицо), для развертывания DLP нужен сервер, домен, SQL, другое предустановленное ПО. Получится, что за ПО вы заплатите условную 1000, а за железо и сопутствующее ПО в десятки раз больше. Это неоправданно дорого получается. Т.е. для личных целей подойдет какая-нибудь программа учета рабочего времени. DLP все же корпоративная система и предназначена в первую очередь для борьбы с утечками информации, внутренним мошенничеством и т.п.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое