Ашуканцы скралі старонку Укантакце прадпрымальніка Аляксея Міронава з-за ўразлівасці ў сістэме ідэнтыфікацыі кліентаў МТС. Сацыяльная сетка так і не вярнула яе ўладальніку і патрабуе ад яго невыканальнага. Цяпер ён падае за гэта на Укантакце ў суд. Яго інтарэсы прадстаўляе Цэнтр лічбавых правоў.
Аляксей Міронаў – заснавальнік сеткі Jeffrey's Coffee. Гэта франшыза кавярань у Маскве і рэгіёнах. Аляксей часта меў зносіны з калегамі і партнёрамі ВКонтакте і вёў там вельмі папулярны паблік сваёй сеткі, які налічвае больш за 50 000 падпісчыкаў.
У лістападзе 2018 года, раніцай, калі Аляксей знаходзіўся ў камандзіроўцы ў Кітаі, яго старонку Укантакце ўзламалі. Яму дашлі SMS ад Укантакце, WhatsApp і паведамленне ад аператара МТС, у якім гаварылася, што настроена пераадрасацыя на іншы нумар. Аляксей пераадрасацыю не настройваў, таму адразу занепакоіўся і патэлефанаваў у МТС. Там нават не адразу вызначылі, што пераадрасацыя сапраўды ёсць. Адключыць яе аператар змог толькі праз дзве гадзіны пасля званка Аляксея. У МТС так і не знайшлі дадзеныя аб тым, як і калі была падключаная пераадрасацыя.
Аляксей праверыў доступ да сацсетак і месэнджэраў і ўбачыў, што ўвайсці ў іх па нумары тэлефона ўжо не можа. Узломшчыкі прывязалі да яго акаўнтаў іншы нумар. З WhatsApp пытанне вырашыўся хутка. Адразу пасля адмены пераадрасацыі мэсанджар аднавіў доступ да акаўнта законнаму ўладальніку.
Аляксей напісаў у падтрымку ВКонтакте з просьбай вярнуць старонку і адправіў фота пашпарта. Увечары яму прыйшло SMS, што заяўка адхілена, бо бягучы ўладальнік пацвердзіў права доступу.
Спецыяліст службы тэхпадтрымкі заявіў, што Аляксей добраахвотна мог перадаць доступ да сваёй старонкі трэцім асобам, таму аднаўляць яму доступ не будуць. Аляксей патлумачыў сітуацыю з узломам, але ў яго папрасілі ў пацверджанне даслаць ліст з МТС, у якім аператар пацвярджаў бы, што адбыўся ўзлом. Ліст ад МТС Аляксей падаў. Пасля гэтага адміністрацыя ВКонтакте запатрабавала запэўніць гэты ліст у паліцыі. Такое патрабаванне вельмі складана выканаць, таму што запэўненне лістоў і паўнамоцтваў падпісанта - гэта не функцыя паліцыі. Заблакаваць узламаную старонку Аляксей змог, толькі асабіста папрасіўшы пра гэта знаёмых супрацоўнікаў Укантакце. Старонку не вярнулі да гэтага часу. Адзінае, чаго дабіўся Аляксей, - блакіроўка акаўнта. Цяпер ім не могуць карыстацца ні ашуканцы, ні ён сам.
Служба падтрымкі ВКонтакте - гэта асобная гісторыя. Са службай падтрымкі ВКонтакте могуць звязацца толькі аўтарызаваныя карыстачы. Гэта значыць, што калі вы страцілі доступ да сваёй старонкі, вы павінны стварыць новую або прасіць сяброў даць доступ да іх старонак, каб напісаць у падтрымку. Аляксей перапісваўся са адмыслоўцамі службы падтрымкі са старонкі жонкі, і гэта не збянтэжыла іх, хоць Карыстальніцкая дамова не дазваляе перадаваць лагін і пароль камусьці яшчэ.
Узлом старонкі і далейшая страта доступу да акаўнта і пабліку, відавочна, нанеслі шкоду як дзелавой рэпутацыі Аляксея, так і яго маёмасным інтарэсам. Не кажучы аб тым, што гэта дазволіла ўцячы значнаму масіву асабістай і камерцыйнай інфармацыі незразумела куды. Ашуканцы з акаўнта бізнэсмэна прасілі ў яго знаёмых перавесці ім буйныя сумы грошай. Адзін чалавек перавёў ім 34 тысячы рублёў. Зламыснікі суткі мелі доступ да асабістай інфармацыі акаўнта Аляксея.
Пазоў супраць Укантакце
Аляксей Міронаў падаў пазоў да сацыяльнай сеткі Укантакце ў Смальнінскі раённы суд горада Санкт-Пецярбурга і зараз чакае прызначэння справы. Ён просіць суд абавязаць сацыяльную сетку выканаць уласную дамову, заключаную ў форме Карыстальніцкай дамовы і вярнуць ёй доступ да сваёй старонкі. Адміністрацыя ВКонтакте да цяперашняга часу працягвае пазбаўляць Аляксея доступу да акаўнта неабгрунтавана, тады як ён добрасумленна выконваў умовы Карыстальніцкай дамовы і адразу паведаміў службе тэхнічнай падтрымкі сацсеткі аб узломе. Укантакце адмовілася аднаўляць яму доступ да старонкі, спасылаючыся на пункт Карыстальніцкай дамовы, які забараняе карыстачам перадаваць лагін і пароль іх старонкі трэцім асобам. Агент падтрымкі ВКонтакте, з якім меў зносіны Аляксей, заявіў, што наладзіць пераадрасаванне тэлефоннага нумара можна толькі пры наведванні офіса аператара і прад'яўленні пашпарта. На справе гэта не так, і гэта пацвердзіў Роскомнадзор у адказ на зварот Аляксея.
Сацыяльная сетка, у парушэнне Карыстальніцкай дамовы, неабгрунтавана абмежавала доступ Аляксея да выкарыстання яго старонкі. Гэта аднабаковая адмова ад выканання абавязацельстваў, якая парушае п. 1 арт. 30 ГК РФ. Пазбаўляючы яго доступу да акаўнта, ВК таксама пазбавіла Аляксея і правоў адміністравання прыналежнага яму пабліка, які з'яўляецца для яго важным нематэрыяльным актывам. (Пра рынак паблікаў як новай формы лічбавай маёмасці і асаблівасцях заключэння здзелак з імі мы пісалі )
Дзюры бяспекі ў сістэме ідэнтыфікацыі МТС
Па перапісцы, якую вялі ашуканцы ад асобы прадпрымальніка, відаць, што яны ведалі аб яго бізнэсе і камандзіроўцы. Яны патэлефанавалі ў кантактны цэнтр МТС, змаглі ідэнтыфікавацца ад імя Аляксея і настроілі пераадрасацыю. Зламыснікі маглі атрымаць яго пашпартныя дадзеныя праз сацыяльны інжынірынг. Аляксей Міронаў - заснавальнік франшызы, таму яго пашпартныя дадзеныя маглі быць у многіх людзей, якія займаюцца адкрыццём устаноў франшызы. МТС правяла ўнутранае расследаванне, але не змагла ўстанавіць, хто менавіта ўстанавіў пераадрасацыю і як зламыснік перахапіў СМС. Кампанія не прызнала віну, але пры гэтым прапанавала Аляксею вельмі дзіўную кампенсацыю - 750 рублёў.
Мы палічылі, што ідэнтыфікацыя абанента выдалена толькі па карэктных персанальных дадзеных з'яўляецца вельмі сумнеўнай практыкай і напісалі скаргу ў Раскамнагляд аб праверцы адпаведнасці падобнага роду працэсу кампаніі патрабаванням заканадаўства аб персанальных дадзеных. У выніку Раскамнагляд стаў на бок МТС, паказаўшы, што кіраваць паслугамі сувязі пасля выдаленай ідэнтыфікацыі па тэлефоне пры прадастаўленні карэктных персанальных дадзеных – гэта цалкам нармальная з'ява, а ўсталяванне дадатковых спосабаў абароны ад падобнага роду неаўтарызаваных дзеянняў – гэта галаўны боль самога абанента, а не кампаніі . (чытаць поўны адказ - )
Узлом акаўнта Аляксея Міронава – не першы выпадак несанкцыянаванага доступу да дадзеных абанентаў МТС. У 2018 годзе базу даных 500 тысяч абанентаў у Новасібірску двое зламыснікаў, адзін з якіх быў супрацоўнікам кампаніі. Яны спрабавалі прадаць базу па кошце 1 рубель за дадзеныя аднаго абанента.
У 2016 годзе былі тэлеграм-акаўнты апазіцыйных актывістаў Георгія Албурава і Алега Казлоўскага. Іх акаўнты былі прывязаны да нумароў МТС, і незадоўга да ўзлому на іх была адключана паслуга SMS і ўключана пераадрасацыя. Акалічнасці ўзлому таксама не былі ўсталяваныя. У 2019 годзе Алег Казлоўскі падаў пазоў супраць МТС, але суд яго адхіліў.
Абарона акаўнтаў розных вэб-сэрвісаў і прыкладанняў ад узлому адносіцца да адказнасці самога карыстальніка. Такой пазіцыі прытрымліваюцца і аператары сувязі, і сам рэгулятар, паводле якой яны і адмаўляюцца падзяляць гэтыя рызыкі з уласным абанентам.
РКН у сваім адказе апісвае гэта так:
“… Згодна з п.2.11 Умоваў МТС абанентам для мэт ідэнтыфікацыі ў аператара сувязі прадастаўляецца магчымасць выкарыстання Кодавага слова — указанай Абанентам ва ўстаноўленай Аператарам форме паслядоўнасці сімвалаў (літар, лічбаў), якая служыць для ідэнтыфікацыі Абанента пры выкананні Дагавора. Абанент мае магчымасць устанавіць кодавае слова як пры заключэнні дагавора (у гэтым выпадку яно ўносіцца ў бланк дагавора разам з абавязковымі рэквізітамі), так і ў любы момант выканання дагавора. Нягледзячы на гэта, абанентам Міронавым А.К. кодавае слова да моманту аспрэчванага падключэння паслугі, не ўстанаўлівалася. Пры такіх абставінах толькі абанент праз устанаўленне кодавага слова пры ідэнтыфікацыі ў аператара сувязі мог нівеліраваць рызыку неспрыяльных наступстваў ад такіх сітуацый, аднак дадзенай магчымасцю не скарыстаўся”.
Аднаўленне акаўнта. Mission impossible
Скарга на бяздзейнасць Раскамнагляду ў пракуратуру ўжо пададзена. Тым часам паліцыя працягвае маўчаць па заяве аб злачынстве. Аб выніках расследавання ўнутры кампаніі таксама ніхто нічога не паведамляе. МТС ніякай віны не прызнае. Нікому няма ніякай справы. Пры гэтым, Укантакце працягвае адмаўляць уладальніку акаўнта ва ўзнаўленні доступу да яго, пакуль ён не прынясе з паліцыі Пастанову аб узбуджэнні крымінальнай справы з усталяваннем названых фактаў і ліст ад МТС, у якім будзе пацверджанне аспрэчнасці паслугі па пераадрасацыі. У лісце з дастаткова вялізнымі тлумачэннямі ёсць яшчэ патрабаванне, што Міронаў таксама павінен прадаставіць даведку ад МТС, што ён з'яўляецца аднаасобным (а што, дзесьці аператары афармляюць сумесную ўласнасць на нумары тэлефонаў?) карыстальнікам нумара тэлефона, які быў прывязаны да старонкі. Адказ паступіў у канцы мінулага тыдня, і улічваючы ўсю тупіковасць сітуацыі і немагчымасць дамовіцца з Укантакце на працягу ўжо паўгода, мы і звярнуліся ў суд.
Як засцерагчы сябе ад узлому
Атрымаць доступ да кіравання тэлефонным нумарам зламыснікі могуць і праз іншыя ўразлівасці – пратакол SS7 або атрыманне дубліката сім-карты з дапамогай нядобрасумленных супрацоўнікаў аператара.
SS7 - гэта тэхнічны пратакол, які выкарыстоўваюць аператары сувязі. Ён змяшчае старую і, мяркуючы па ўсім, неўстараняемую , якая дазваляе перахапляць дадзеныя, якія перадаюцца абанентамі падчас званка ці ў SMS. Доступ да SS7 ёсць толькі ў аператараў, але зламыснікі могуць атрымаць яго, купіўшы доступ у даркнеце ў аператараў маларазвітых дзяржаў або праз нядобрасумленных супрацоўнікаў мабільных аператараў. Атака адбываецца, калі ўзломшчык мяняе адрас білінгавай сістэмы абанента на адрас сваёй. Часцей за ўсё зламыснікі гэтым паведамляюць сістэме, што абанент у міжнародным роўмінгу, таму самы просты спосаб засцерагчы сябе - адключыць магчымасць міжнароднага роўмінгу, калі вы ім не карыстаецеся.
Яшчэ ў Аляксея Міронава не была настроена сістэма двухфактарнай аўтэнтыфікацыі для Вконтакте. Такая функцыя у ВК у чэрвені 2014 года. Магчыма, яна змагла б абараніць ягоны рахунак ад узлому. Варта памятаць, што простая прывязка акаўнта да нумара тэлефона – гэта не двухфактарная аўтэнтыфікацыя. - гэта абарона ўваходу ў рахунак, калі ў дадатак да пароля здзяйсняюць яшчэ адно дзеянне. Самы распаўсюджаны варыянт - SMS-код. Гэты спосаб не самы надзейны, бо зламыснікі могуць перахапіць SMS-паведамленне. Больш бяспечныя варыянты - файл-ключ, часовыя коды, мабільнае прыкладанне і апаратны токен.
Нажаль, мы змушаныя жыць у эпоху, калі забеспячэнне абароны дадзеных становіцца нашай уласнай праблемай. Спадзяюцца на тое, што аператары будуць самастойна несці адказнасць у выпадку ўзлому, як відаць, не даводзіцца. Таксама як і спадзявацца на Роскомнадзор, які ўжо даўно адарваўся ад рэальнасці ў сваёй практыцы па абароне дадзеных. Прабіць браню «адмоўнага матэрыялу» участковага, якому спусцяць вашу заяву па аналагічным выпадку - неверагодна складана, асабліва простаму чалавеку, які не ведае як працуе гэта сістэма. Што ж застаецца? Не забывацца пра лічбавую гігіену, давяраць матэматыцы і абараняць свае правы ў судзе.
Крыніца: habr.com