Bedrieërs het die VKontakte-bladsy van entrepreneur Alexey Mironov gesteel weens 'n kwesbaarheid in die MTS-kliënt-identifikasiestelsel. Die sosiale netwerk het dit nog nooit aan sy eienaar terugbesorg nie en eis die onmoontlike van hom. Nou dagvaar hy VKontakte hiervoor. Hy word verteenwoordig deur die Sentrum vir Digitale Regte.
Alexey Mironov is die stigter van die Jeffrey's Coffee-ketting. Dit is 'n franchise van koffiewinkels in Moskou en die streke. Alexey het dikwels met kollegas en vennote op VKontakte gekommunikeer en 'n baie gewilde openbare bladsy vir sy netwerk daar onderhou, met meer as 50 000 intekenare.
In November 2018, vroegoggend, toe Alexey op 'n sakereis in China was, is sy VKontakte-bladsy gekap. Hy het SMS'e van VKontakte, WhatsApp en 'n boodskap van die MTS-operateur ontvang, wat sê dat aanstuur na 'n ander nommer opgestel is. Alexey het nie aanstuur opgestel nie, so hy het dadelik bekommerd geraak en MTS gebel. Hulle het nie eers dadelik vasgestel dat daar wel 'n herleiding was nie. Die operateur kon dit slegs twee uur ná Alexey se oproep afskakel. MTS het nooit data gevind oor hoe en wanneer die aanstuur geaktiveer is nie.
Alexey het toegang tot sosiale netwerke en kitsboodskappers nagegaan en gesien dat hy nie meer met sy foonnommer by hulle kan aanmeld nie. Die kuberkrakers het 'n ander nommer aan sy rekeninge gekoppel. Met WhatsApp is die probleem vinnig opgelos. Onmiddellik nadat die aanstuur gekanselleer is, het die boodskapper toegang tot die rekening aan die regmatige eienaar herstel.
Alexey het aan VKontakte-ondersteuning geskryf en gevra om die bladsy terug te gee en 'n foto van sy paspoort gestuur. Die aand het hy 'n SMS ontvang dat die aansoek afgekeur is, aangesien die huidige eienaar die reg van toegang bevestig het.
’n Tegniese ondersteuningspesialis het verklaar dat Alexey vrywillig toegang tot sy bladsy aan derde partye kan oordra, sodat hulle nie sy toegang sal herstel nie. Alexey het die situasie met die hack verduidelik, maar hy is gevra om 'n brief van MTS ter bevestiging te stuur waarin die operateur sal bevestig dat 'n hack plaasgevind het. Alexey het 'n brief van MTS verskaf. Hierna het die VKontakte-administrasie geëis dat hierdie brief deur die polisie gesertifiseer word. Hierdie vereiste is baie moeilik om na te kom omdat dit nie die polisie se funksie is om briewe en die ondertekenaar se geloofsbriewe te sertifiseer nie. Alexey kon slegs die gekapte bladsy blokkeer deur sy VKontakte-werknemers persoonlik te vra om dit te doen. Die bladsy is nog nie teruggestuur nie. Die enigste ding wat Alexey bereik het, was om sy rekening te blokkeer. Nou kan nie swendelaars of hy self dit gebruik nie.
VKontakte-ondersteuningsdiens is 'n ander storie. Slegs gemagtigde gebruikers kan die VKontakte-ondersteuningsdiens kontak. Dit beteken dat as jy toegang tot jou bladsy verloor, jy 'n nuwe een moet skep of jou vriende moet vra om toegang tot hul bladsye te gee om ter ondersteuning te skryf. Alexey het met ondersteuningsdiensspesialiste vanaf sy vrou se bladsy gekorrespondeer, en dit het hulle nie gepla nie, hoewel die Gebruikersooreenkoms nie die oordrag van die login en wagwoord aan iemand anders toelaat nie.
Die inbraak van die bladsy en verdere verlies aan toegang tot die rekening en publieke bladsy het natuurlik beide Alexey se besigheidsreputasie en sy eiendomsbelange beskadig. Om nie te praat dat dit 'n aansienlike hoeveelheid persoonlike en kommersiële inligting na onbekende bestemmings laat lek het nie. Bedrieërs uit die sakeman se rekening het sy vriende gevra om groot bedrae geld aan hulle oor te dra. Een persoon het hulle 34 duisend roebels oorgedra. Die aanvallers het XNUMX uur lank toegang tot persoonlike inligting van Alexey se rekening gehad.
Regsgeding teen VKontakte
Alexey Mironov het 'n regsgeding teen die sosiale netwerk VKontakte in die Smolninsky-distrikshof van St. Petersburg aanhangig gemaak en wag nou op die toewysing van die saak. Hy vra die hof om die sosiale netwerk te verplig om sy eie ooreenkoms, gesluit in die vorm van 'n Gebruikersooreenkoms, na te kom en hom toegang tot sy bladsy terug te gee. Tot vandag toe gaan die VKontakte-administrasie voort om Alexey onredelik toegang tot sy rekening te ontneem, terwyl hy die bepalings van die Gebruikersooreenkoms pligsgetrou nagekom het en onmiddellik die tegniese ondersteuningsdiens van die sosiale netwerk oor die hack ingelig het. VKontakte het geweier om sy toegang tot die bladsy te herstel, met verwysing na 'n klousule in die Gebruikersooreenkoms wat gebruikers verbied om hul bladsyaanmelding en wagwoord aan derde partye oor te dra. Die VKontakte-ondersteuningsagent met wie Alexey gepraat het, het gesê dat u slegs die aanstuur van telefoonnommers kan opstel deur die operateur se kantoor te besoek en u paspoort aan te bied. Trouens, dit is nie die geval nie, en dit is deur Roskomnadzor bevestig in reaksie op Alexey se appèl.
Die sosiale netwerk het, in stryd met die Gebruikersooreenkoms, Alexey se toegang tot die gebruik van sy bladsy onredelik beperk. Dit is 'n eensydige weiering om verpligtinge na te kom, wat paragraaf 1 van Art. 30 Burgerlike Wetboek van die Russiese Federasie. Deur hom toegang tot sy rekening te ontneem, het VK Alexey ook die regte ontneem om sy publieke blad te administreer, wat vir hom ’n belangrike ontasbare bate is. (Ons het geskryf oor die openbare mark as 'n nuwe vorm van digitale eiendom en die eienaardighede van die sluiting van transaksies met hulle )
Sekuriteitsgate in die MTS-identifikasiestelsel
Die korrespondensie wat die swendelaars namens die entrepreneur gevoer het, wys dat hulle geweet het van sy besigheid en sakereis. Hulle het die MTS-kontaksentrum gebel, kon hulself namens Alexey identifiseer en oproepaanstuur opgestel. Aanvallers kon sy paspoortdata deur sosiale ingenieurswese bekom. Alexey Mironov is die stigter van die franchise, so baie mense wat betrokke is by die opening van franchise-instellings kan sy paspoortinligting hê. MTS het ’n interne ondersoek gedoen, maar kon nie vasstel wie presies die aanstuur geïnstalleer het en hoe die aanvaller die SMS onderskep het nie. Die maatskappy het nie skuld erken nie, maar terselfdertyd vir Alexey 'n baie vreemde vergoeding aangebied - 750 roebels.
Ons het van mening dat die identifisering van 'n intekenaar op afstand slegs deur korrekte persoonlike data te gebruik, 'n baie twyfelagtige praktyk is en het 'n klag aan Roskomnadzor gerig om die voldoening van hierdie soort maatskappyproses aan die vereistes van die wetgewing oor persoonlike data te verifieer. Gevolglik het Roskomnadzor die kant van MTS geskaar en daarop gewys dat die bestuur van kommunikasiedienste na afgeleë identifikasie per telefoon, terwyl die verskaffing van korrekte persoonlike data heel normaal is, en om bykomende metodes van beskerming teen hierdie soort ongemagtigde handelinge 'n kopseer vir die intekenaar self is, nie die maatskappy . (lees volledige antwoord - )
Die inbraak van Alexey Mironov se rekening is nie die eerste geval van ongemagtigde toegang tot MTS-intekenaardata nie. In 2018, die databasis van 500 duisend intekenare in Novosibirsk twee aanvallers, van wie een 'n maatskappywerknemer was. Hulle het probeer om die databasis teen 'n prys van 1 roebel vir die data van een intekenaar te verkoop.
In 2016 was daar Telegram-verslae van opposisie-aktiviste Georgy Alburov en Oleg Kozlovsky. Hul rekeninge is aan MTS-nommers gekoppel, en kort voor die hack is hul SMS-diens gedeaktiveer en aanstuur is geaktiveer. Die omstandighede van die inbraak is ook nie vasgestel nie. In 2019 het Oleg Kozlovsky 'n regsgeding teen MTS aanhangig gemaak, maar die hof het dit verwerp.
Om rekeninge van verskeie webdienste en toepassings teen inbraak te beskerm, is die verantwoordelikheid van die gebruiker self. Hierdie posisie word gedeel deur beide telekommunikasie-operateurs en die reguleerder self, waarvolgens hulle weier om hierdie risiko's met hul eie intekenare te deel.
RKN beskryf dit so in sy antwoord:
“... Volgens klousule 2.11 van die MTS-voorwaardes word intekenare van die telekommunikasie-operateur vir identifikasiedoeleindes die geleentheid gebied om 'n Kodewoord te gebruik - 'n reeks simbole (letters, syfers) gespesifiseer deur die Intekenaar in die vorm wat deur die operateur, wat dien om die intekenaar te identifiseer wanneer die ooreenkoms uitgevoer word. Die intekenaar het die geleentheid om 'n kodewoord te stel, beide by die sluiting van 'n ooreenkoms (in hierdie geval word dit saam met die verpligte besonderhede in die ooreenkomsvorm ingevoer) en te eniger tyd tydens die uitvoering van die ooreenkoms. Ten spyte hiervan het die intekenaar Mironov A.K. die kodewoord is nie gestel voor die betwiste verbinding van die diens nie. Onder sulke omstandighede kon slegs die intekenaar, deur 'n kodewoord te vestig tydens identifikasie met die telekommunikasie-operateur, die risiko van nadelige gevolge van sulke situasies neutraliseer, maar het nie hierdie geleentheid benut nie.”
Rekeningherwinning. Onmoontlike missie
’n Klag oor die gebrek aan optrede van Roskomnadzor is reeds by die aanklaer se kantoor ingedien. Intussen bly die polisie stilbly oor die misdaadverslag. Niemand rapporteer ook iets binne die maatskappy oor die resultate van die ondersoek nie. MTS erken geen skuld nie. Niemand gee om nie. Terselfdertyd gaan VKontakte voort om die rekeningeienaar te weier om toegang daartoe te herstel totdat hy 'n besluit van die polisie bring om 'n kriminele saak te begin wat die gespesifiseerde feite vasstel en 'n brief van MTS, wat sal bevestig dat die herleidingsdiens betwisbaar is. In die brief met redelik uitgebreide verduidelikings is daar ook 'n vereiste dat Mironov ook 'n sertifikaat van MTS moet verskaf dat hy die enigste (en wat, iewers registreer operateurs gesamentlike eienaarskap van telefoonnommers?) is van die telefoonnommer waaraan gekoppel was die bladsy. Die reaksie het aan die einde van verlede week gekom, en gegewe die dooiepunt in die situasie en die onmoontlikheid om nou al vir ses maande 'n ooreenkoms met VKontakte te bereik, het ons hof toe gegaan.
Hoe om jouself te beskerm teen inbraak
Aanvallers kan ook toegang verkry tot die bestuur van 'n telefoonnommer deur ander kwesbaarhede - die SS7-protokol of die verkryging van 'n duplikaat SIM-kaart met die hulp van gewetenlose operateur-werknemers.
SS7 is 'n tegniese protokol wat deur telekommunikasie-operateurs gebruik word. Dit bevat 'n ou en blykbaar onverwyderbare , wat jou toelaat om data te onderskep wat deur intekenare versend word tydens 'n oproep of per SMS. Slegs operateurs het toegang tot SS7, maar aanvallers kan dit kry deur toegang op die donkernet by operateurs in onderontwikkelde lande of deur gewetenlose werknemers van mobiele operateurs te koop. 'n Aanval vind plaas wanneer 'n aanvaller die intekenaar se rekeningstelseladres na sy eie adres verander. Meestal lig aanvallers die stelsel in dat die intekenaar in internasionale roaming is, dus die maklikste manier om jouself te beskerm is om internasionale roaming te deaktiveer as jy dit nie gebruik nie.
Alexey Mironov het nog nie 'n twee-faktor-verifikasiestelsel vir Vkontakte opgestel nie. Hierdie funksie in VK in Junie 2014. Miskien kan sy sy rekening beskerm teen gekap. Dit is die moeite werd om te onthou dat die koppeling van 'n rekening aan 'n telefoonnommer nie twee-faktor-verifikasie is nie. — dit is die beskerming van aanmelding by 'n rekening wanneer, benewens die wagwoord, nog 'n aksie uitgevoer word. Die mees algemene opsie is 'n SMS-kode. Hierdie metode is nie die mees betroubare nie, aangesien aanvallers die SMS-boodskap kan onderskep. Veiliger opsies is 'n sleutellêer, tydelike kodes, 'n mobiele toepassing en 'n hardeware-token.
Ongelukkig word ons gedwing om in 'n era te leef waar die versekering van datasekuriteit ons eie probleem word. Hulle hoop dat operateurs onafhanklik verantwoordelikheid sal dra in die geval van 'n inbraak, maar dit is blykbaar nie die geval nie. Sowel as staatmaak op Roskomnadzor, wat lank reeds van die werklikheid geskei is in sy databeskermingspraktyke. Dit is ongelooflik moeilik om deur die wapenrusting van die “weieringsmateriaal” van die plaaslike polisiebeampte wat jou aansoek in 'n soortgelyke saak sal ontvang, te breek, veral vir 'n gewone mens wat nie weet hoe hierdie stelsel werk nie. Wat bly oor? Moenie vergeet van digitale higiëne nie, vertrou wiskunde en verdedig jou regte in die hof.
Bron: will.com