Измамниците откраднаха страницата VKontakte на предприемача Алексей Миронов поради уязвимост в системата за идентификация на клиенти на MTS. Социалната мрежа никога не го е върнала на собственика му и иска невъзможното от него. Сега той съди VKontakte за това. Той се представлява от Центъра за дигитални права.
Алексей Миронов е основател на веригата кафенета Jeffrey's Coffee. Това е франчайз на кафенета в Москва и регионите. Алексей често общуваше с колеги и партньори във VKontakte и поддържаше много популярна публична страница за своята мрежа там, наброяваща повече от 50 000 абонати.
През ноември 2018 г., рано сутринта, когато Алексей беше в командировка в Китай, страницата му във VKontakte беше хакната. Той получи SMS от VKontakte, WhatsApp и съобщение от оператора MTS, в което се казва, че е настроено пренасочване към друг номер. Алексей не е настроил препращане, така че веднага се притесни и се обади на MTS. Те дори не установиха веднага, че наистина има пренасочване. Операторът успя да го изключи само два часа след обаждането на Алексей. MTS така и не намери данни за това как и кога е активирано пренасочването.
Алексей провери достъпа до социални мрежи и месинджъри и видя, че вече не може да влезе в тях с телефонния си номер. Хакерите свързали друг номер с акаунтите му. С WhatsApp проблемът беше решен бързо. Веднага след анулирането на препращането, месинджърът възстанови достъпа до акаунта на законния собственик.
Алексей писа до поддръжката на VKontakte с молба да върне страницата и изпрати снимка на паспорта си. Вечерта получи SMS, че молбата е отхвърлена, тъй като настоящият собственик потвърди правото на достъп.
Специалист по техническа поддръжка заяви, че Алексей може доброволно да прехвърли достъпа до страницата си на трети страни, така че те няма да възстановят достъпа му. Алексей обясни ситуацията с хакването, но беше помолен да изпрати писмо за потвърждение от MTS, в което операторът да потвърди, че е настъпил хак. Алексей предостави писмо от MTS. След това администрацията на VKontakte поиска това писмо да бъде заверено от полицията. Това изискване е много трудно за изпълнение, тъй като не е функция на полицията да заверява писмата и акредитивите на подписалите. Алексей успя да блокира хакната страница само като лично попита служителите на VKontakte, че знае за това. Страницата все още не е върната. Единственото, което постигна Алексей, беше блокиране на акаунта му. Сега нито измамниците, нито самият той могат да го използват.
Службата за поддръжка на VKontakte е различна история. Само оторизирани потребители могат да се свързват с услугата за поддръжка на VKontakte. Това означава, че ако загубите достъп до страницата си, трябва да създадете нова или да помолите приятелите си да дадат достъп до техните страници, за да пишете в подкрепа. Алексей кореспондира със специалисти по поддръжка от страницата на жена си и това не ги притеснява, въпреки че потребителското споразумение не позволява прехвърляне на потребителско име и парола на някой друг.
Хакването на страницата и по-нататъшната загуба на достъп до акаунта и публичната страница очевидно накърняват както бизнес репутацията на Алексей, така и неговите имуществени интереси. Да не говорим, че това позволи значително количество лична и търговска информация да изтече до неизвестни дестинации. Измамниците от сметката на бизнесмена помолили приятелите му да им преведат големи суми пари. Един човек им прехвърли 34 хиляди рубли. Нападателите имаха достъп до личната информация от акаунта на Алексей за XNUMX часа.
Дело срещу VKontakte
Алексей Миронов заведе дело срещу социалната мрежа VKontakte в Смолнински районен съд на Санкт Петербург и сега очаква разпределяне на делото. Той моли съда да задължи социалната мрежа да изпълни собственото си споразумение, сключено под формата на потребителско споразумение, и да му върне достъпа до страницата му. И до ден днешен администрацията на VKontakte продължава да лишава Алексей от достъп до неговия акаунт неоснователно, докато той съвестно спазваше условията на потребителското споразумение и незабавно информира службата за техническа поддръжка на социалната мрежа за хакването. VKontakte отказа да възстанови достъпа му до страницата, позовавайки се на клауза в Споразумението с потребителя, която забранява на потребителите да прехвърлят данните за вход и паролата си на трети страни. Агентът по поддръжката на VKontakte, с когото разговаря Алексей, заяви, че можете да настроите пренасочване на телефонен номер само като посетите офиса на оператора и представите паспорта си. Всъщност това не е така и това беше потвърдено от Роскомнадзор в отговор на призива на Алексей.
Социалната мрежа, в нарушение на потребителското споразумение, неоснователно ограничи достъпа на Алексей до използването на неговата страница. Това е едностранен отказ за изпълнение на задължения, нарушаващ параграф 1 на чл. 30 Гражданския кодекс на Руската федерация. Лишавайки го от достъп до акаунта му, VK също така лиши Алексей от правата да администрира публичната си страница, която е важен нематериален актив за него. (Писахме за публичния пазар като нова форма на цифрова собственост и особеностите на сключването на сделки с тях )
Дупки в сигурността в системата за идентификация на MTS
Кореспонденцията, водена от измамниците от името на предприемача, показва, че те са знаели за неговия бизнес и командировка. Те се обадиха в контактния център на MTS, успяха да се идентифицират от името на Алексей и да настроят пренасочване на повиквания. Нападателите могат да получат паспортните му данни чрез социално инженерство. Алексей Миронов е основателят на франчайза, така че много хора, участващи в откриването на франчайзингови заведения, биха могли да имат неговата паспортна информация. MTS проведе вътрешно разследване, но не успя да определи кой точно е инсталирал препращането и как нападателят е прихванал SMS. Компанията не призна вина, но в същото време предложи на Алексей много странна компенсация - 750 рубли.
Сметнахме, че идентифицирането на абонат от разстояние само с помощта на правилни лични данни е много съмнителна практика и написахме жалба до Роскомнадзор, за да проверим съответствието на този вид фирмен процес с изискванията на законодателството за личните данни. В резултат на това Roskomnadzor застана на страната на MTS, като посочи, че управлението на комуникационните услуги след отдалечена идентификация по телефона при предоставяне на правилни лични данни е съвсем нормално и установяването на допълнителни методи за защита срещу този вид неразрешени действия е главоболие за самия абонат, а не компанията . (прочетете пълния отговор - )
Хакването на акаунта на Алексей Миронов не е първият случай на неоторизиран достъп до данните на абонатите на MTS. През 2018 г. базата данни от 500 хиляди абонати в Новосибирск двама нападатели, единият от които е служител на компанията. Те се опитаха да продадат базата данни на цена от 1 рубла за данните на един абонат.
През 2016 г. имаше Телеграм акаунти на опозиционните активисти Георги Албуров и Олег Козловски. Техните акаунти бяха свързани с номера на MTS, а малко преди хакването SMS услугата им беше деактивирана и пренасочването беше активирано. Не са установени и обстоятелствата при взлома. През 2019 г. Олег Козловски заведе дело срещу MTS, но съдът го отхвърли.
Защитата на акаунти на различни уеб услуги и приложения от хакване е отговорност на самия потребител. Тази позиция се споделя както от телеком операторите, така и от самия регулатор, според който те отказват да споделят тези рискове със собствените си абонати.
RKN го описва по този начин в своя отговор:
„... Съгласно клауза 2.11 от Условията на MTS, за целите на идентификацията, на абонатите от телекомуникационния оператор се дава възможност да използват кодова дума - последователност от символи (букви, цифри), определени от Абоната във формата, установена от Оператора, който служи за идентифициране на Абоната при изпълнение на Договора. Абонатът има възможност да зададе кодова дума както при сключване на договор (в този случай тя се въвежда във формата за договор заедно със задължителните реквизити), така и по всяко време на изпълнение на договора. Въпреки това, абонатът Миронов А.К. кодовата дума не е зададена преди оспорваното свързване на услугата. При такива обстоятелства само абонатът, чрез установяване на кодова дума при идентификация с телеком оператора, може да неутрализира риска от неблагоприятни последици от подобни ситуации, но не се възползва от тази възможност.
Възстановяване на акаунт. Мисия невъзможна
Жалба за бездействието на Роскомнадзор вече е подадена в прокуратурата. Междувременно полицията продължава да мълчи по сигнала за престъплението. Вътре в компанията също никой не съобщава нищо за резултатите от разследването. МТС не признава никаква вина. На никой не му пука. В същото време VKontakte продължава да отказва на собственика на акаунта да възстанови достъпа до него, докато не вземе от полицията решение за образуване на наказателно дело, установяващо посочените факти, и писмо от MTS, което ще потвърди, че услугата за пренасочване е оспорима. В писмото с доста пространни обяснения има и изискване Миронов да предостави и удостоверение от MTS, че е единственият (и какво, някъде операторите регистрират съвместна собственост върху телефонни номера?) потребител на телефонния номер, който е свързан с страницата. Отговорът пристигна в края на миналата седмица и предвид безизходицата в ситуацията и невъзможността да се постигне споразумение с VKontakte вече шест месеца, се обърнахме към съда.
Как да се предпазите от хакване
Нападателите също могат да получат достъп до управление на телефонен номер чрез други уязвимости - протокол SS7 или получаване на дубликат на SIM карта с помощта на безскрупулни служители на оператора.
SS7 е технически протокол, използван от телеком операторите. Съдържа стар и очевидно несменяем , което ви позволява да прихващате данни, предавани от абонати по време на разговор или чрез SMS. Само операторите имат достъп до SS7, но нападателите могат да го получат, като закупят достъп в даркнет от оператори в слабо развити страни или чрез безскрупулни служители на мобилни оператори. Атака възниква, когато нападателят промени адреса на системата за таксуване на абоната със своя собствен адрес. Най-често нападателите информират системата, че абонатът е в международен роуминг, така че най-лесният начин да се защитите е да деактивирате международния роуминг, ако не го използвате.
Алексей Миронов все още не е имал двуфакторна система за удостоверяване, конфигурирана за Vkontakte. Тази функция във VK през юни 2014 г. Може би тя би могла да защити акаунта му от хакване. Струва си да запомните, че простото свързване на акаунт с телефонен номер не е двуфакторно удостоверяване. — това е защитата на влизане в акаунт, когато освен паролата се извършва друго действие. Най-често срещаният вариант е SMS код. Този метод не е най-надеждният, тъй като нападателите могат да прихванат SMS съобщението. По-сигурните опции са ключов файл, временни кодове, мобилно приложение и хардуерен токен.
За съжаление сме принудени да живеем в епоха, в която гарантирането на сигурността на данните се превръща в наш проблем. Те се надяват операторите самостоятелно да носят отговорност в случай на хакване, но очевидно това не е така. Както и да разчита на Роскомнадзор, който отдавна е разведен от реалността в практиките си за защита на данните. Невероятно трудно е да пробиете бронята на „материала за отказ“ на местния полицай, който ще получи вашето заявление в подобен случай, особено за обикновен човек, който не знае как работи тази система. Какво остава? Не забравяйте за дигиталната хигиена, доверете се на математиката и защитавайте правата си в съда.
Източник: www.habr.com