Anti-quishing ฝั่งผู้ออกลิงก์ การจัดเก็บข้อมูลฝั่งที่เก็บ
ทุกลิงก์ Pro ผ่านระบบตรวจจับ anti-quishing 7 ชั้นตอนออกลิงก์ ทุกครั้งที่ปลายทางเปลี่ยน และตามกำหนดเวลาแบบ rolling log การสแกนมีเพียงประเทศและประเภทอุปกรณ์ ไม่มี IP, ไม่มี user agent, ไม่มี cookie, ไม่มีโปรไฟล์พฤติกรรมที่จะรั่วไหล D1 แบบ single-region พร้อมสำหรับ Agency และ Custom Enterprise
ข้อมูลที่เรารวบรวม
ทุก byte ที่ลงเอยบนเซิร์ฟเวอร์ของเราอยู่ในหนึ่งใน 4 กลุ่ม:
ข้อมูลบัญชี
อีเมล, ระดับแผน, สถานะแผน, Stripe customer + subscription ID, ชื่อทีมและป้ายกำกับ workspace แบบไม่บังคับ แค่นั้น ไม่มีโทรศัพท์, ไม่มีที่อยู่ (ที่อยู่สำหรับเรียกเก็บเงินอยู่ที่ Stripe), ไม่มีโปรไฟล์พฤติกรรม
ข้อมูล Code
URL ปลายทาง, shortcode Base58 ขนาด 7 ตัวอักษร, ป้ายกำกับและแท็กที่คุณตั้ง, การออกแบบ QR แบบไม่บังคับ (สี / โลโก้ / กรอบ), การป้องกันด้วยรหัสผ่านแบบไม่บังคับ, กำหนดการแบบไม่บังคับ เป็นของคุณ; ส่งออกเป็น CSV ได้ตลอดเวลา
ข้อมูลการสแกน
วัน UTC + ประเทศ (จาก CF-IPCountry) + ประเภทอุปกรณ์ (mobile / tablet / desktop / unknown) User-Agent ดิบถูกทิ้งทันทีหลังจำแนก IP ไม่เข้าฐานข้อมูลเลย แคชใน KV สำหรับเส้นทาง redirect หลัก รวมข้อมูลใน D1 ผ่าน ctx.waitUntil ข้อมูลรวมประเทศที่น้อยกว่า 5 การสแกนรวมเป็น "Other" เพื่อป้องกันการระบุตัวตน
Metadata การตรวจสอบ / การเรียกเก็บเงิน
Log การแก้ไขแบบ append-only (ใคร ทำอะไร เมื่อไร ในขอบเขตใด), เก็บ 180 วัน Stripe webhook events ลบซ้ำเพื่อ idempotency, ไม่มี PII ของลูกค้านอกจาก Stripe customer ID Log คำขอ GDPR (ส่งออก / ลบ / กู้คืน), เก็บหลังลบบัญชีเพื่อพิสูจน์การดำเนินการตรงเวลา
สำหรับ schema ฉบับเต็ม ดู docs/SCHEMA.md ใน source repo ของเรา ทุก column มีเอกสารพร้อมนโยบายการเก็บรักษา
ข้อมูลจัดเก็บอยู่ที่ไหน
| Surface | Provider | Region | Single-region option? |
|---|---|---|---|
| Dashboard + API | Cloudflare Pages Functions | Edge ทั่วโลก (PoP ที่ใกล้ที่สุด) | ใช่, Agency+ เท่านั้น |
| บันทึก Code (D1) | Cloudflare D1 (SQLite) | ภูมิภาคหลักกำหนดตอน provisioning (ปัจจุบัน: ENAM) | ใช่, Agency+ per-tenant shard |
| Redirect hot path (KV) | Cloudflare Workers KV | ทำซ้ำ edge ทั่วโลกเพื่อ p99 <50ms | ไม่พร้อมใช้งาน (การทำซ้ำคือผลิตภัณฑ์) |
| การสำรองข้อมูลแบบเข้ารหัส | Cloudflare R2 | ภูมิภาคหลักกำหนดตอนสร้าง bucket | ใช่, bucket ในเขตอำนาจ EU / APAC ตามคำขอ |
| การชำระเงิน | Stripe | US, การจัดการ PII ตามภูมิภาคผ่านการจัดเก็บข้อมูลของ Stripe เอง | ผ่านสัญญา Stripe |
| อีเมลธุรกรรม | ZeptoMail (Zoho) | IN (ภูมิภาค EU ของ Zoho พร้อมตามคำขอ) | ใช่, ภูมิภาค EU ของ Zoho |
อะไรข้ามพรมแดนกันแน่
- การสแกนไม่เคยข้ามพรมแดนในลักษณะที่สูญเสียข้อมูล การสแกนจากลิสบอนจะถึง Cloudflare PoP ของลิสบอน worker เขียน วัน/ประเทศ/อุปกรณ์ลงใน KV ที่ edge และรวมข้อมูล async ลงใน D1 ในภูมิภาคหลัก IP ของผู้สแกนดั้งเดิมอยู่ใน request state ชั่วคราวของ Cloudflare ตลอดระยะเวลา HTTP request และไม่เคยบันทึกลงฐานข้อมูลของเรา
- คำขอ Dashboard สิ้นสุดที่ Cloudflare PoP ที่ใกล้ที่สุดและเรียก D1 ผ่านเครือข่ายส่วนตัวของ Cloudflare Pages Functions ของเราอ่าน/เขียน D1 ในภูมิภาคที่กำหนด edge PoP ให้บริการ HTML + JS bundle จาก cache static-asset ทั่วโลก
- Stripe webhooks ข้ามพรมแดนครั้งเดียว, Stripe (US) POST ไปยัง Cloudflare Pages endpoint ของเรา ซึ่งตรวจสอบ HMAC เขียนแถวขั้นต่ำ (event_id, type) สำหรับ idempotency และส่งต่อเหตุการณ์ downstream
- อีเมลธุรกรรม (Zepto) ข้ามพรมแดนครั้งเดียวต่อการส่ง, worker ของเราส่งเทมเพลตที่แสดงผลแล้วไปยัง API ของ Zepto; Zepto ส่งถึง mailserver ของผู้รับ เนื้อหาคือลิงก์เชิญ การแจ้งเตือนวงจรชีวิตการเรียกเก็บเงิน และการแจ้งเตือนจำนวนสแกน, ไม่มีข้อมูลสแกนของลูกค้า
ระบบตรวจจับ anti-quishing
QR phishing เพิ่มขึ้น 146% ใน Q1 2026 ผู้ให้บริการ short-link ทั่วไปตอบสนองหลังได้รับร้องเรียนจากลูกค้า เราตรวจสอบทุกลิงก์ตอนออก ทุกครั้งที่ปลายทางเปลี่ยนฝั่งเรา และตามกำหนดเวลาแบบ rolling เพราะ ลูกค้าสามารถชี้ URL ของตัวเองบนเซิร์ฟเวอร์ตัวเองใหม่โดยไม่เคยเรียก API ของเรา ระบบ threat-intel เดียวกับที่ขับเคลื่อน scanner สาธารณะที่ check.qr.abundera.ai ทำงานกับทุกลิงก์ที่เราออก
ชั้นตรวจจับ 7 ชั้น แต่ละชั้นมีใบสมัครสิทธิบัตรสหรัฐที่รอดำเนินการ ทุกชั้นป้อนเข้าสู่คำตัดสินรวม; การตรวจพบในชั้นใดชั้นหนึ่งสามารถบล็อกการสร้าง, ปฏิเสธการเปลี่ยนปลายทาง, หรือระงับลิงก์ที่ใช้งานอยู่
| ชั้น | สิ่งที่ตรวจจับ | เมื่อทำงาน |
|---|---|---|
| Redirect-chain mutability | จำนวนฝ่ายอิสระที่ควบคุมเส้นทางระหว่าง short link ของเรากับหน้าสุดท้าย การ chain 2 hop ผ่าน redirector ของคนอื่นเป็น risk class ต่างจากปลายทางโดยตรง | สร้าง, เปลี่ยนปลายทาง, rolling re-check |
| Multi-modal payload analysis | payload แบบ WiFi, ผู้ติดต่อ, โทรศัพท์, อีเมล, ปฏิทิน, พิกัด, cryptocurrency, Android intent, และ inline-data แต่ละแบบได้รับตัววิเคราะห์เฉพาะประเภท scheme ที่บล็อกถาวรจะปฏิเสธตอนส่ง | สร้าง, เปลี่ยนปลายทาง |
| Crawler-vs-browser cloaking | หน้าที่แสดงเนื้อหาสะอาดต่อ scanner แต่แสดง phishing ต่อมนุษย์ ตรวจจับโดยการดึงข้อมูลคู่ขนานด้วยการควบคุม fingerprint variance และ divergence score | สร้าง, rolling re-check |
| Destination-server mutability | โดเมนที่ลงทะเบียนใหม่, certificate ใหม่, TLD ที่มีการเปลี่ยนแปลงสูง, HSTS ขาดหาย, และการลดระดับ transport scheme อิสระจาก redirect chain; static one-hop chain ไปยัง cert อายุ 6 วันบน TLD น่าสงสัยก็จะถูกตั้งค่าสถานะ | สร้าง, เปลี่ยนปลายทาง, rolling re-check |
| Physical-instance provenance | บัญชีแยกประเภท hash แบบ crowd-sourced คีย์ด้วย decoded payload QR ตัวเดียวที่สแกนในหลายภูมิภาคต่างกันในช่วงเวลาสั้นถูกระบุว่าเป็นผู้สมัคร sticker-attack ทุกลิงก์ที่เราออกได้รับ provenance entry ที่สะอาดตอนสร้าง ดังนั้น overlay attack ต่อ Pro code ที่ถูกต้องจะถูกจับ | ต่อเนื่อง |
| Visual-brand divergence | หาก code มีโลโก้แบรนด์ที่ canonical-domain set ไม่รวม decoded destination ถือว่า code มี brand-divergent ใช้กับทุก Pro code ที่ใช้ฟีเจอร์ center-logo ของเรา; phisher ไม่สามารถส่ง code โลโก้ Chase ที่ชี้ไปยังโดเมนที่ไม่ใช่ Chase | สร้าง, เปลี่ยนโลโก้, เปลี่ยนปลายทาง |
| Sensor / venue topology | สำหรับ code ที่ผูกกับสถานที่ (มิเตอร์ที่จอดรถ, เช็คอินโรงแรม, เมนูร้านอาหาร, นิทรรศการพิพิธภัณฑ์) บริบท RF ambient ของอุปกรณ์ที่สแกนจะถูกตรวจสอบกับ topology ที่ลงทะเบียนสำหรับสถานที่นั้น ความไม่ตรงกันคืน sensor-context anomaly แม้ในการสแกนแรกของสติกเกอร์ปลอม ระดับ Enterprise; ผู้ดำเนินการสถานที่ลงทะเบียน topology ที่คาดหวังตอนสร้าง code | ทุกการสแกน |
ปัญหาการเปลี่ยนแปลงฝั่งลูกค้า
URL ปลายทางของ Pro link อยู่บนเซิร์ฟเวอร์ของลูกค้า ไม่ใช่ของเรา ลูกค้าสามารถชี้ example.com/promo จาก promo จริงไปยังหน้า phishing โดยไม่เคยเรียก Abundera API เราถือว่านี่เป็นเส้นทางการละเมิดหลัก ไม่ใช่ edge case rolling re-check กับปลายทางที่ใช้งานทำงานตามกำหนดเวลา และชั้นตรวจจับ cloaking มุ่งเป้าไปที่หน้าที่เปลี่ยนหลังส่ง เมื่อปลายทางเริ่มล้มเหลวในการตรวจสอบหลังสร้าง ลิงก์จะถูก auto-paused เจ้าของได้รับอีเมลพร้อมคำตัดสินเฉพาะ และเราบันทึกเหตุการณ์ใน audit trail
False positive และการอุทธรณ์
Threat intel ผิดพลาดบางครั้ง แบรนด์ที่ถูกต้องบน cert ที่ออกใหม่, promo จริงที่หน้าเปลี่ยนตามกฎหมาย, โดเมนที่ย้าย ทุกการบล็อกและ auto-pause รวมถึงชั้นคำตัดสินเฉพาะที่ทำงาน, input ที่กระตุ้น และการอุทธรณ์คลิกเดียวที่ยกระดับถึงมนุษย์ภายในหนึ่งวันทำการ เราเลือก pause มากกว่าลบ; ลิงก์ที่ pause สามารถเปิดใช้งานใหม่ได้ในไม่กี่วินาทีเมื่อการอุทธรณ์ผ่าน
การจัดเก็บในภูมิภาคเดียว (Agency+ และ Custom Enterprise)
สำหรับผู้ซื้อ EU เท่านั้นหรือ APAC เท่านั้น ลูกค้า Agency สามารถขอ:
- D1 ในเขตอำนาจเดียว (EU: EEUR หรือ WEUR; APAC: APAC) Cloudflare ยอมรับคำแนะนำ
locationเมื่อสร้างฐานข้อมูล เราสร้าง D1 shard ต่อ tenant ในภูมิภาคที่ร้องขอ (ADR-0010) - R2 bucket ในเขตอำนาจเดียวกัน, การสำรองข้อมูล D1 → R2 แบบเข้ารหัสรายคืนจัดเก็บในภูมิภาคที่ตรงกัน
- ภูมิภาค EU ของ Zepto สำหรับอีเมลธุรกรรม, กำหนดค่าที่ระดับบริการ ไม่ต้องเปลี่ยนโค้ด
- KV ยังคงเป็นแบบ global, การทำซ้ำ edge เป็นหัวใจของการรับประกัน redirect <50ms หาก KV ในภูมิภาคเดียวเป็นข้อกำหนดที่เข้มงวด ติดต่อเรา เราสามารถประเมินว่า Worker เวอร์ชันเฉพาะภูมิภาคเป็นไปได้สำหรับแคมเปญของคุณหรือไม่
ราคา add-on ภูมิภาคเดียวเป็นอัตราคงที่ (ไม่มีการเพิ่มราคาต่อที่นั่ง) และขึ้นอยู่กับชุดค่าผสมเฉพาะ ส่งอีเมลมาที่ enterprise@abundera.ai พร้อมเขตอำนาจเป้าหมายและปริมาณการสแกนที่คาดการณ์ และเราจะเสนอราคา
ท่าทีการปฏิบัติตาม
- GDPR, ข้อมูลขั้นต่ำโดยการออกแบบ (เฉพาะประเทศและประเภทอุปกรณ์ ไม่มี IP, ไม่มี UA, ไม่มี cookie) บวกการส่งออกด้วยคลิกเดียวและการลบถาวรใน 30 วัน DPA + EU SCCs สำหรับทุกระดับที่ชำระเงิน
- CCPA, ครอบคลุมด้วยพื้นผิวการส่งออก + ลบเดิม "การขายข้อมูล" ไม่ใช่สิ่งที่เราทำ: ไม่มีการแชร์กับบุคคลที่สาม, ไม่มีพันธมิตรโฆษณา, ไม่มี retargeting
- SSO + SCIM provisioning, SAML 2.0 + OIDC single sign-on และวงจรชีวิต user & group SCIM 2.0 (ระดับ Agency + Custom Enterprise) ตรวจสอบการปฏิบัติตาม RFC 7643/7644 แล้ว (20/20 ในชุดทดสอบที่ได้จาก PingIdentity) แฟล็กคุณสมบัติต่อการเชื่อมต่อหมายความว่า SCIM ปิดโดยค่าเริ่มต้นและเปิดใช้งานต่อลูกค้า จำกัดอัตรา 50 RPS ต่อโทเค็น บันทึก audit Okta/Entra/JumpCloud ใช้งานได้วันนี้เป็น custom-SCIM app ในขณะที่ partner-catalog listings อยู่ระหว่างดำเนินการ
- SOC 2 Type II, อยู่ระหว่างการกำหนดขอบเขต กระบวนการ 6-9 เดือน หากนี่เป็นข้อกำหนดที่เข้มงวดสำหรับคุณ ส่งอีเมลมาที่ enterprise@abundera.ai เราสามารถแชร์สถานะปัจจุบันและไทม์ไลน์ที่คาดการณ์ได้
- PCI-DSS, นอกขอบเขตของเราโดยตรง การชำระเงินจัดการตั้งแต่ต้นจนจบโดย Stripe (รับรอง PCI Level 1)
การเปิดเผยด้านความปลอดภัย
พบช่องโหว่? ส่งอีเมลมาที่ security@abundera.ai การเปิดเผยแบบประสานงาน, เราจะยืนยันภายใน 24 ชั่วโมง (วันทำการ) ประเมินภายใน 72 ชั่วโมง และประสานการแก้ไขและไทม์ไลน์การเปิดเผยกับคุณ ยังไม่มีโปรแกรม bug bounty แต่เราให้เครดิตนักวิจัยต่อสาธารณะที่ abundera.ai/security/thanks/ เมื่อแพตช์ออก