Fırıldaqçılar MTS-in müştəri identifikasiyası sistemindəki boşluq səbəbindən sahibkar Aleksey Mironovun VKontakte səhifəsini oğurlayıblar. Sosial şəbəkə onu heç vaxt sahibinə qaytarmayıb və ondan mümkün olmayanı tələb edir. İndi o, bunun üçün VKontakte-ni məhkəməyə verir. O, Rəqəmsal Hüquqlar Mərkəzi tərəfindən təmsil olunur.
Aleksey Mironov Jeffrey's Coffee şəbəkəsinin yaradıcısıdır. Bu, Moskvada və regionlarda qəhvəxanaların franchisesidir. Aleksey tez-tez VKontakte-də həmkarları və tərəfdaşları ilə ünsiyyət qurur və orada şəbəkəsi üçün 50-dən çox abunəçi olan çox məşhur ictimai səhifə saxlayırdı.
2018-ci ilin noyabrında, səhər tezdən, Aleksey Çində işgüzar səfərdə olarkən, onun VKontakte səhifəsi sındırıldı. O, VKontakte, WhatsApp-dan SMS və MTS operatorundan başqa nömrəyə yönləndirmənin qurulduğunu bildirən mesaj aldı. Aleksey ekspedisiya qurmadı, ona görə də dərhal narahat oldu və MTS-ə zəng etdi. Həqiqətən yönləndirmənin olduğunu dərhal müəyyən etmədilər. Operator Alekseyin zəngindən cəmi iki saat sonra onu söndürə bildi. MTS göndərmənin necə və nə vaxt aktivləşdirildiyi barədə heç vaxt məlumat tapmadı.
Aleksey sosial şəbəkələrə və ani messencerlərə girişi yoxladı və gördü ki, artıq öz telefon nömrəsi ilə onlara daxil ola bilmir. Hakerlər onun hesablarına daha bir nömrə bağlayıblar. WhatsApp ilə problem tez həll olundu. Yönləndirməni ləğv etdikdən dərhal sonra messencer qanuni sahibinə hesaba girişi bərpa etdi.
Aleksey VKontakte dəstəyinə yazıb və səhifəni geri qaytarmağı xahiş edib və pasportunun şəklini göndərib. Axşam o, ərizənin rədd edildiyi barədə SMS aldı, çünki hazırkı sahibi giriş hüququnu təsdiqlədi.
Texniki dəstək mütəxəssisi bildirdi ki, Aleksey öz səhifəsinə girişi könüllü olaraq üçüncü tərəflərə ötürə bilər, ona görə də onlar onun girişini bərpa etməyəcəklər. Aleksey hakerlik vəziyyətini izah etdi, lakin ondan MTS-dən təsdiq məktubu göndərməsi istəndi, bu məktubda operator hack baş verdiyini təsdiqləyəcək. Aleksey MTS-dən məktub təqdim etdi. Bundan sonra VKontakte rəhbərliyi bu məktubun polis tərəfindən təsdiqlənməsini tələb etdi. Bu tələbi yerinə yetirmək çox çətindir, çünki məktubları və imza sahibinin etibarnamələrini təsdiqləmək polisin funksiyası deyil. Aleksey sındırılmış səhifəni yalnız “VKontakte” işçilərindən şəxsən xahiş etməklə bloklaya bilib. Səhifə hələ geri qaytarılmayıb. Alekseyin əldə etdiyi yeganə şey hesabını bloklamaq oldu. İndi nə fırıldaqçılar, nə də özü istifadə edə bilər.
VKontakte dəstək xidməti fərqli bir hekayədir. Yalnız səlahiyyətli istifadəçilər VKontakte dəstək xidməti ilə əlaqə saxlaya bilər. Bu o deməkdir ki, səhifənizə girişi itirsəniz, yenisini yaratmalı və ya dəstək yazmaq üçün dostlarınızdan səhifələrinə giriş icazəsi vermələrini xahiş etməlisiniz. Aleksey həyat yoldaşının səhifəsindən dəstək xidmətinin mütəxəssisləri ilə yazışdı və bu, onları narahat etmədi, baxmayaraq ki, İstifadəçi Müqaviləsi giriş və şifrəni başqasına ötürməyə imkan vermir.
Səhifənin sındırılması və hesaba və ictimai səhifəyə girişin daha da itirilməsi Alekseyin həm işgüzar nüfuzuna, həm də əmlak maraqlarına zərər vurdu. Qeyd etmək olmaz ki, bu, əhəmiyyətli miqdarda şəxsi və kommersiya məlumatlarının naməlum istiqamətlərə sızmasına imkan verdi. İş adamının hesabından fırıldaqçılar dostlarından onlara külli miqdarda pul köçürmələrini istəyiblər. Bir nəfər onlara 34 min rubl köçürüb. Təcavüzkarlar XNUMX saat ərzində Alekseyin hesabından şəxsi məlumatlara çıxış əldə ediblər.
VKontakte-yə qarşı iddia
Aleksey Mironov "VKontakte" sosial şəbəkəsinə qarşı Sankt-Peterburqun Smolninski Rayon Məhkəməsində iddia qaldırıb və hazırda işin təyinatını gözləyir. O, məhkəmədən sosial şəbəkəni İstifadəçi Müqaviləsi formasında bağlanmış öz müqaviləsini yerinə yetirməyə məcbur etməyi və səhifəsinə girişi ona qaytarmağı xahiş edir. Bu günə qədər VKontakte administrasiyası Alekseyi əsassız olaraq hesabına daxil olmaqdan məhrum etməkdə davam edir, o, İstifadəçi Müqaviləsinin şərtlərinə vicdanla əməl edir və dərhal sosial şəbəkənin texniki dəstək xidmətini sındırma barədə məlumatlandırır. “VKontakte” İstifadəçi Müqaviləsində istifadəçilərin öz səhifələrinin loqini və parolunu üçüncü şəxslərə ötürməsini qadağan edən bəndinə istinad edərək, onun səhifəyə girişini bərpa etməkdən imtina edib. Alekseyin danışdığı VKontakte dəstək agenti, telefon nömrəsinin yönləndirilməsini yalnız operatorun ofisinə baş çəkərək və pasportunuzu təqdim etməklə qura biləcəyinizi söylədi. Əslində, bu belə deyil və bunu Roskomnadzor Alekseyin müraciətinə cavab olaraq təsdiqləyib.
Sosial şəbəkə, İstifadəçi Müqaviləsini pozaraq, Alekseyin səhifəsinin istifadəsinə girişini əsassız olaraq məhdudlaşdırdı. Bu, Sənətin 1-ci bəndini pozaraq öhdəlikləri yerinə yetirməkdən birtərəfli imtinadır. 30 Rusiya Federasiyasının Mülki Məcəlləsi. VK onu hesabına daxil olmaqdan məhrum etməklə, Alekseyi onun üçün mühüm qeyri-maddi aktiv olan ictimai səhifəsini idarə etmək hüquqlarından da məhrum edib. (Biz rəqəmsal mülkiyyətin yeni forması kimi ictimai bazar və onlarla əməliyyatların bağlanmasının xüsusiyyətləri haqqında yazdıq. )
MTS identifikasiya sistemindəki təhlükəsizlik boşluqları
Fırıldaqçıların sahibkarın adından apardıqları yazışmalardan görünür ki, onların işgüzar səfərindən və ezamiyyətindən xəbəri olub. MTS-in əlaqə mərkəzinə zəng etdilər, Alekseyin adından özlərini tanıya bildilər və zəng yönləndirməsini qurdular. Təcavüzkarlar onun pasport məlumatlarını sosial mühəndislik vasitəsilə əldə edə bilirdilər. Aleksey Mironov françayzinqin təsisçisidir, ona görə də françayzinq müəssisələrinin açılmasında iştirak edən bir çox insanlar onun pasport məlumatlarına sahib ola bilərdilər. MTS daxili araşdırma apardı, lakin yönləndirməni kimin quraşdırdığını və təcavüzkarın SMS-ə necə müdaxilə etdiyini müəyyən edə bilməyib. Şirkət günahını etiraf etmədi, eyni zamanda Alekseyə çox qəribə təzminat təklif etdi - 750 rubl.
Biz hesab etdik ki, abunəçini yalnız düzgün şəxsi məlumatlardan istifadə etməklə uzaqdan müəyyən etmək çox şübhəli bir təcrübədir və bu cür şirkət prosesinin şəxsi məlumatlar haqqında qanunvericiliyin tələblərinə uyğunluğunu yoxlamaq üçün Roskomnadzor-a şikayət yazdıq. Nəticədə, Roskomnadzor MTS-in tərəfini tutaraq qeyd etdi ki, telefonla uzaqdan identifikasiyadan sonra rabitə xidmətlərini düzgün şəxsi məlumatlarla təmin etmək olduqca normaldır və bu cür icazəsiz hərəkətlərdən əlavə qorunma üsullarının yaradılması abunəçinin özü üçün başağrısı deyil. şirkət . (tam cavabı oxuyun - )
Aleksey Mironovun hesabının sındırılması MTS abunəçi məlumatlarına icazəsiz girişin ilk hadisəsi deyil. 2018-ci ildə 500 min abunəçinin məlumat bazası Novosibirskdə biri şirkət işçisi olan iki hücumçu. Məlumat bazasını bir abunəçinin məlumatı üçün 1 rubl qiymətinə satmağa çalışdılar.
2016-ci ildə var idi Müxalifət fəalları Georgi Alburov və Oleq Kozlovskinin Telegram hesabları. Onların hesabları MTS nömrələri ilə əlaqələndirilib və sındırılmadan bir qədər əvvəl onların SMS xidməti söndürülüb və yönləndirmə aktiv edilib. Hücumun şəraiti də müəyyən edilməyib. 2019-cu ildə Oleq Kozlovski MTS-ə qarşı iddia qaldırdı, lakin məhkəmə onu rədd etdi.
Müxtəlif veb-xidmətlərin və proqramların hesablarının haker hücumundan qorunması istifadəçinin özüdür. Bu mövqe həm telekommunikasiya operatorları, həm də tənzimləyicinin özü tərəfindən paylaşılır, buna görə onlar bu riskləri öz abunəçiləri ilə bölüşməkdən imtina edirlər.
RKN öz cavabında bunu belə təsvir edir:
“... MTS Şərtlərinin 2.11-ci bəndinə əsasən, identifikasiya məqsədləri üçün telekommunikasiya operatorunun abunəçilərinə Kod Sözündən - Abunəçi tərəfindən müəyyən edilmiş formada müəyyən edilmiş simvollar (hərflər, rəqəmlər) ardıcıllığından istifadə etmək imkanı verilir. Müqaviləni yerinə yetirərkən Abunəçini müəyyən etməyə xidmət edən Operator. Abunəçi həm müqavilə bağlayarkən (bu halda o, müqavilə formasına məcburi rekvizitlərlə birlikdə daxil edilir), həm də müqavilənin icrası zamanı istənilən vaxt kod sözünü təyin etmək imkanına malikdir. Buna baxmayaraq, abunəçi Mironov A.K. xidmətin mübahisəli əlaqəsindən əvvəl kod sözü təyin edilməmişdir. Belə bir şəraitdə yalnız abunəçi telekommunikasiya operatoru ilə eyniləşdirmə zamanı kod söz yaratmaqla belə halların mənfi nəticələri riskini zərərsizləşdirə bilsə də, bu fürsətdən istifadə etməyib”.
Hesabın bərpası. Missiya qeyri-mümkündür
Artıq Roskomnadzorun hərəkətsizliyi ilə bağlı prokurorluğa şikayət edilib. Bu arada polis cinayət xəbərinə səssiz qalmağa davam edir. Araşdırmanın nəticələri ilə bağlı şirkət daxilində də heç kim heç nə bildirmir. MTS heç bir günahı boynuna almır. Heç kimin vecinə deyil. Eyni zamanda, VKontakte, polisdən göstərilən faktları müəyyən edən cinayət işinin başlanması haqqında Qərar və MTS-dən yönləndirmə xidmətinin mübahisəli olduğunu təsdiqləyən məktubu gətirənə qədər hesab sahibinə girişi bərpa etməkdən imtina etməyə davam edir. Kifayət qədər geniş izahatları olan məktubda, həmçinin Mironovun MTS-dən onun əlaqəsi olan telefon nömrəsinin yeganə istifadəçisi (və operatorlar hansı yerdə telefon nömrələrinin birgə mülkiyyətini qeydiyyata alırlar?) olması barədə arayış təqdim etməsi tələbi də var. səhifə. Cavab keçən həftənin sonunda gəldi və vəziyyətin çıxılmaz vəziyyətdə olduğunu və artıq altı aydır ki, VKontakte ilə razılığa gəlməyin mümkünsüzlüyünü nəzərə alaraq, məhkəməyə müraciət etdik.
Özünüzü hackdən necə qorumaq olar
Hücumçular həmçinin digər boşluqlar - SS7 protokolu və ya vicdansız operator işçilərinin köməyi ilə dublikat SİM kartı əldə etməklə telefon nömrəsini idarə etmək imkanı əldə edə bilərlər.
SS7 telekommunikasiya operatorları tərəfindən istifadə olunan texniki protokoldur. Tərkibində köhnə və yəqin ki, çıxarılmayan var , bu, zəng zamanı və ya SMS vasitəsilə abunəçilər tərəfindən ötürülən məlumatları ələ keçirməyə imkan verir. Yalnız operatorların SS7-yə girişi var, lakin təcavüzkarlar onu inkişaf etməmiş ölkələrin operatorlarından və ya mobil operatorların vicdansız işçiləri vasitəsilə qaranlıq şəbəkəyə giriş əldə etməklə əldə edə bilərlər. Təcavüzkar abunəçinin billinq sistem ünvanını öz ünvanına dəyişdikdə hücum baş verir. Çox vaxt təcavüzkarlar sistemə abunəçinin beynəlxalq rouminqdə olduğu barədə məlumat verirlər, buna görə də özünüzü qorumağın ən asan yolu istifadə etmədiyiniz təqdirdə beynəlxalq rouminqi söndürməkdir.
Aleksey Mironovun hələ Vkontakte üçün konfiqurasiya edilmiş iki faktorlu autentifikasiya sistemi yox idi. Bu funksiya 2014-cü ilin iyun ayında VK-da. Ola bilsin ki, o, onun hesabını sındırılmaqdan qoruya bilər. Xatırlamaq lazımdır ki, sadəcə bir hesabı telefon nömrəsinə bağlamaq iki faktorlu autentifikasiya deyil. — bu, parola əlavə olaraq başqa bir hərəkət yerinə yetirildikdə hesaba girişin qorunmasıdır. Ən çox yayılmış seçim SMS kodudur. Bu üsul ən etibarlı deyil, çünki təcavüzkarlar SMS mesajını ələ keçirə bilərlər. Daha təhlükəsiz seçimlər əsas fayl, müvəqqəti kodlar, mobil proqram və hardware nişanıdır.
Təəssüf ki, biz məlumat təhlükəsizliyinin təmin edilməsinin öz problemimizə çevrildiyi bir dövrdə yaşamağa məcburuq. Onlar ümid edirlər ki, operatorlar hack halında müstəqil şəkildə məsuliyyət daşıyacaqlar, lakin görünür, belə deyil. Məlumatların qorunması praktikasında çoxdan reallıqdan ayrılmış Roskomnadzor-a güvənməklə yanaşı. Bənzər bir vəziyyətdə ərizənizi qəbul edəcək yerli polis məmurunun "imtina materialı" nın zirehini sındırmaq, xüsusən də bu sistemin necə işlədiyini bilməyən adi bir insan üçün olduqca çətindir. Nə qalır? Rəqəmsal gigiyena haqqında unutmayın, riyaziyyata etibar edin və məhkəmədə hüquqlarınızı müdafiə edin.
Mənbə: www.habr.com