Русский
Русский
English
Статистика
Реклама

Очень странные дела при подаче объявлений на ЦИАН

TL;DR При загрузке паспорта на сайт cian.ru он улетает к заграничному сервису распознавания лиц на api.sumsub.com

Преамбула


И снова здравствуйте. Возможно шапочка из фольги снова давит голову, но есть вопросы и подозрения, которыми хотелось бы поделиться с вами. В одном из прошлых постов была показана странная и спорная фича в почтовике mail.ru. Новый день принёс новые открытия. На этот раз доброжелатель пожелал остаться анонимным. Но всё равно спасибо ему за то, что поделился фактурой.

Cian.ru сайт, позиционирующийся как достоверная база данных о продаже и аренде жилой, загородной и коммерческой недвижимости и принадлежащий ЦИАН. Групп. Ресурсы этой компании довольно популярны. Компания заявляет, что она Лидер онлайн-недвижимости России (по количеству посещений сайта cian.ru пользователями сети Интернет по данным LiveInternet в разделе Недвижимость по состоянию на 12 марта 2020 г.). Всё это есть в подвале сайта. Интересно другое.

Пару лет назад в Сети начали появляться вопросы относительно нового требования от ресурса: пользователь должен загрузить свой паспорт. Беглый гуглёж сразу приводит нас в справочный раздел, где перечислены необходимые действия для идентификации и поясняется, почему это хорошо.

Тем не менее, пользователи выказывали опасения (раз, два, три и т.д.), т.к. набор данных состоит как минимум из паспортных данных + скан паспорта РФ + фото с раскрытым паспортом в руке. Это для физлиц. Если вы ИП или Юрлицо, данных нужно ещё больше.

Но довольно лирики. Посмотрим, что будет, если пользователь просто подаёт объявление на продажу квартиры.

Фабула


Смотреть действия будем через нашу DLP. Интерес в первую очередь представляет перехват с модулей HTTPController и MonitorController. Думаю, из названия понятно, что каждый из них перехватывает. Заранее прошу прощения за качество скринов. На данный момент никто из сотрудников квартиру не продаёт, поэтому полностью воспроизвести кейс у себя не смогли. Показывать и пояснять будем на боевой системе.

Итак, отсортируем перехват с двух каналов по времени, чтобы чётко видеть хронологию действий.

Действие 1. Человек заходит на cian.ru, начинает подавать объявление. Видно в перехвате по http, что полетели фото. 4 штуки (строки 6-9 на скриншоте).
image

Сразу же можно, не отходя от кассы, посмотреть вложение, которое улетело к cian.ru. Убеждаемся, что грузятся фото интерьера квартиры.
image

Перехват MonitorControllera (строка 10) всё подтверждает. Виден браузер, видны 4 загруженных фото, видны эти же фото в теле объявления.
image

Действие 2. Наступает интересный момент. После загрузки фото летят разные пакеты да по разным местам. Что-то на api циана, что-то в mail.ru, что-то в facebook. Зачем? Не знаю. Но явного криминала тут не нашли. Наконец, наступает момент, когда появляется шаг с подтверждением личности.
image

Некоторые читатели возможно задаются вопросом, а как это так удачно и в нужное время система скрины делает? Всё просто. У MonitorControllera есть опция Делать скрин при смене активного окна. Здесь мы видим как раз такую ситуацию: человек нажимает кнопку, чтобы добавить фото, открывается окно, система реагирует. Никакого колдунства.

Взглянем на скрин поближе.
image

Если вы следили внимательно, то могли запомнить, что этот скрин находился на строке 27. Что же дальше по хронологии? Строка 28 спешит убить интригу человек добавил свой паспорт. Но!
image

Вы только посмотрите, что творят канадцы! Паспорт улетает на api.sumsub.com. Можно убедиться, открыв в перехвате сам файл.
image

Осталась последняя надежда. Может этот сервис обрабатывает изображения в России? Хотелось бы драматически бросить в зал доказательства, но если быть честным, то надо быть им до конца. В данном случае наша DLP в качестве IP получателя фиксировала адрес прокси-сервера.

Поэтому предлагаю самим вам убедиться, когда улетают ваши паспорта при подаче объявлений. Со своей стороны могу в команду ping a, которая выдала 104.26.10.41.
image

В целом, в этот светлый сисадминский праздник, который к тому же ещё и пятница(!) хотелось бы верить в то, что я где-то ошибся или недопонял. Что ж, в таком случае, готов буду посыпать голову пеплом, публично извиняться и учить матчасть. А пока, призываю сообщество самостоятельно проверить изложенные факты и по возможности поделиться результатами.
Источник: habr.com
К списку статей
Опубликовано: 31.07.2020 14:18:55
0

Сейчас читают

Комментариев (0)
Имя
Электронная почта

Блог компании searchinform

Информационная безопасность

Утечка информации

Персональные данные

Категории

Последние комментарии

  • Имя: Murshin
    13.06.2024 | 14:01
    Нейросеть-это мозг вселенной.Если к ней подключиться,то можно получить все знания,накопленные Вселенной,но этому препятствуют аннуннаки.Аннуннаки нас от неё отгородили,установив в головах барьер. Подр Подробнее..
  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru