Prevaranti su ukrali VKontakte stranicu preduzetnika Alekseja Mironova zbog ranjivosti u sistemu identifikacije korisnika MTS-a. Društvena mreža ga nikada nije vratila vlasniku i od njega traži nemoguće. Sada zbog toga tuži VKontakte. Zastupa ga Centar za digitalna prava.
Alexey Mironov je osnivač lanca Jeffrey's Coffee. Ovo je franšiza kafića u Moskvi i regionima. Aleksej je često komunicirao sa kolegama i partnerima na VKontakteu i tamo je održavao veoma popularnu javnu stranicu za svoju mrežu, koja broji više od 50 pretplatnika.
U novembru 2018., rano ujutro, kada je Aleksej bio na službenom putu u Kini, hakovana je njegova stranica VKontakte. Dobio je SMS od VKontaktea, WhatsApp-a i poruku od operatera MTS-a u kojoj se navodi da je postavljeno prosljeđivanje na drugi broj. Aleksej nije podesio prosleđivanje, pa se odmah zabrinuo i nazvao MTS. Nisu čak ni odmah utvrdili da je preusmjeravanje zaista bilo. Operater je bio u mogućnosti da ga isključi samo dva sata nakon Aleksejevog poziva. MTS nikada nije pronašao podatke o tome kako i kada je prosleđivanje aktivirano.
Alexey je provjerio pristup društvenim mrežama i instant messengerima i vidio da se više ne može prijaviti na njih koristeći svoj broj telefona. Hakeri su povezali još jedan broj sa njegovim računima. Sa WhatsApp-om problem je brzo riješen. Odmah nakon otkazivanja prosljeđivanja, messenger je vratio pristup računu pravom vlasniku.
Aleksej je pisao podršci za VKontakte tražeći da vrati stranicu i poslao je fotografiju svog pasoša. Uveče je dobio SMS da je prijava odbijena, jer je sadašnji vlasnik potvrdio pravo pristupa.
Stručnjak za tehničku podršku izjavio je da bi Aleksej mogao dobrovoljno prenijeti pristup svojoj stranici trećim stranama, tako da mu one neće vratiti pristup. Aleksej je objasnio situaciju hakovanja, ali je od njega zatraženo da pošalje pismo potvrde od MTS-a, u kojem će operater potvrditi da je došlo do hakovanja. Aleksej je dao pismo od MTS-a. Nakon toga, uprava VKontaktea zatražila je da ovo pismo ovjeri policija. Ovaj zahtjev je veoma teško ispuniti jer nije funkcija policije da ovjerava pisma i akreditive potpisnika. Aleksej je uspeo da blokira hakovanu stranicu samo tako što je lično pitao zaposlene VKontaktea da zna za to. Stranica još nije vraćena. Jedino što je Aleksej postigao je blokiranje njegovog naloga. Sada ga ne mogu koristiti ni prevaranti ni on sam.
Usluga podrške VKontaktea je druga priča. Samo ovlašteni korisnici mogu kontaktirati VKontakte službu za podršku. To znači da ako izgubite pristup svojoj stranici, morate kreirati novu ili zamoliti svoje prijatelje da daju pristup svojim stranicama kako biste pisali podršku. Alexey se dopisivao sa stručnjacima za podršku sa stranice svoje supruge, i to im nije smetalo, iako Korisnički ugovor ne dopušta prenošenje login i lozinke na nekog drugog.
Hakovanje stranice i dalji gubitak pristupa nalogu i javnoj stranici očigledno su oštetili i Aleksejev poslovni ugled i njegove imovinske interese. Da ne spominjemo da je to omogućilo da značajna količina ličnih i komercijalnih informacija procuri na nepoznate destinacije. Prevaranti sa računa biznismena tražili su od njegovih prijatelja da im prebace velike sume novca. Jedna osoba im je prenijela 34 hiljade rubalja. Napadači su imali pristup ličnim podacima sa Aleksejevog naloga XNUMX sata.
Tužba protiv VKontaktea
Aleksej Mironov podneo je tužbu protiv društvene mreže VKontakte u Smoljnjinskom okružnom sudu u Sankt Peterburgu i sada čeka na dodelu slučaja. Traži od suda da obaveže društvenu mrežu da ispuni sopstveni ugovor, zaključen u formi korisničkog ugovora, i vrati mu pristup njegovoj stranici. Do danas, uprava VKontaktea nastavlja neopravdano oduzimati Alexeyu pristup njegovom računu, dok se on savjesno pridržavao uslova korisničkog ugovora i odmah obavijestio službu tehničke podrške društvene mreže o haku. VKontakte je odbio da mu vrati pristup stranici, pozivajući se na klauzulu u Korisničkom ugovoru koja zabranjuje korisnicima da prenesu svoje podatke za prijavu i lozinku na stranicu trećim licima. Agent za podršku VKontaktea sa kojim je Aleksej razgovarao izjavio je da možete podesiti prosleđivanje telefonskog broja samo tako što ćete posetiti kancelariju operatera i pokazati svoj pasoš. Zapravo, to nije slučaj, a to je potvrdio i Roskomnadzor u odgovoru na Aleksejevu žalbu.
Društvena mreža je, kršeći Korisnički ugovor, neopravdano ograničila Alexeyev pristup korištenju njegove stranice. Radi se o jednostranom odbijanju ispunjenja obaveza, čime se krši stav 1. čl. 30 Građanskog zakonika Ruske Federacije. Lišavajući ga pristupa njegovom nalogu, VK je takođe lišio Alekseja prava da administrira svoju javnu stranicu, koja je za njega važna nematerijalna imovina. (Pisali smo o javnom tržištu kao novom obliku digitalne imovine i posebnostima sklapanja transakcija s njima )
Sigurnosne rupe u sistemu identifikacije MTS-a
Prepiska koju su prevaranti vodili u ime preduzetnika pokazuje da su znali za njegov službeni i službeni put. Pozvali su kontakt centar MTS-a, mogli su da se identifikuju u ime Alekseja i podesili su prosleđivanje poziva. Napadači su mogli dobiti podatke o njegovom pasošu putem društvenog inženjeringa. Alexey Mironov je osnivač franšize, tako da su mnogi ljudi koji su uključeni u otvaranje franšiznih ustanova mogli imati podatke o njegovom pasošu. MTS je sproveo internu istragu, ali nije mogao da utvrdi ko je tačno instalirao prosleđivanje i kako je napadač presreo SMS. Kompanija nije priznala krivicu, ali je istovremeno ponudila Alekseju vrlo čudnu nadoknadu - 750 rubalja.
Smatrali smo da je identifikacija pretplatnika na daljinu samo koristeći ispravne lične podatke vrlo sumnjiva praksa i napisali smo žalbu Roskomnadzoru da provjeri usklađenost ovakvog procesa kompanije sa zahtjevima zakona o ličnim podacima. Kao rezultat toga, Roskomnadzor je stao na stranu MTS-a, ističući da je upravljanje komunikacionim uslugama nakon daljinske identifikacije putem telefona uz davanje ispravnih ličnih podataka sasvim normalno, a uspostavljanje dodatnih metoda zaštite od ove vrste neovlaštenih radnji predstavlja glavobolju samom pretplatniku, a ne kompanija. (pročitajte ceo odgovor - )
Hakovanje naloga Alekseja Mironova nije prvi slučaj neovlašćenog pristupa podacima pretplatnika MTS-a. U 2018. godini baza podataka od 500 hiljada pretplatnika u Novosibirsku dvojica napadača, od kojih je jedan bio radnik kompanije. Pokušali su prodati bazu podataka po cijeni od 1 rublje za podatke jednog pretplatnika.
U 2016. bilo je Telegram nalozi opozicionih aktivista Georgija Alburova i Olega Kozlovskog. Njihovi nalozi bili su povezani sa MTS brojevima, a neposredno pre hakovanja, njihov SMS servis je onemogućen i prosleđivanje omogućeno. Nisu utvrđene ni okolnosti provale. Oleg Kozlovsky je 2019. godine podnio tužbu protiv MTS-a, ali ju je sud odbio.
Zaštita naloga različitih web servisa i aplikacija od hakovanja je odgovornost samog korisnika. Ovaj stav dijele i telekom operateri i sam regulator, prema kojem odbijaju da podijele ove rizike sa sopstvenim pretplatnicima.
RKN to opisuje ovako u svom odgovoru:
“... Prema klauzuli 2.11 MTS Uslova, u svrhu identifikacije, pretplatnicima telekom operatera se daje mogućnost da koriste kodnu riječ - niz simbola (slova, brojeva) koje je odredio Pretplatnik u obliku koji je utvrdio Operator, koji služi za identifikaciju Pretplatnika prilikom sklapanja Ugovora. Pretplatnik ima mogućnost da zada šifru kako prilikom sklapanja ugovora (u ovom slučaju se upisuje u obrazac ugovora zajedno sa obaveznim podacima) tako i u bilo kom trenutku tokom izvršenja ugovora. Uprkos tome, pretplatnik Mironov A.K. kodna riječ nije postavljena prije spornog povezivanja usluge. U takvim okolnostima, samo je pretplatnik, uspostavljanjem kodne riječi prilikom identifikacije sa telekom operaterom, mogao neutralizirati rizik od štetnih posljedica iz ovakvih situacija, ali tu priliku nije iskoristio.”
Oporavak računa. Nemoguća misija
Tužilaštvu je već podneta žalba na nerad Roskomnadzora. U međuvremenu, policija i dalje šuti o prijavi zločina. Ni u kompaniji niko ništa ne prijavljuje o rezultatima istrage. MTS ne priznaje krivicu. Nikoga nije briga. Istovremeno, VKontakte i dalje odbija vlasniku naloga da mu vrati pristup sve dok od policije ne donese Rješenje o pokretanju krivičnog postupka kojim se utvrđuju navedene činjenice i pismo MTS-a, koje će potvrditi da je usluga preusmeravanja sporna. U pismu sa prilično opširnim objašnjenjima stoji i zahtev da Mironov mora dostaviti i potvrdu MTS-a da je jedini (a šta, negde operateri registruju zajedničko vlasništvo nad brojevima telefona?) korisnik broja telefona koji je povezan sa njim. stranicu. Odgovor je stigao krajem prošle sedmice, a s obzirom na zastoj situacije i nemogućnost dogovora sa VKontakteom već šest mjeseci, išli smo na sud.
Kako se zaštititi od hakovanja
Napadači takođe mogu dobiti pristup upravljanju telefonskim brojem putem drugih ranjivosti - SS7 protokola ili dobijanja duple SIM kartice uz pomoć beskrupuloznih zaposlenih operatera.
SS7 je tehnički protokol koji koriste telekom operateri. Sadrži staru i naizgled neuklonjivu , koji vam omogućava da presretnete podatke koje prenose pretplatnici tokom poziva ili putem SMS-a. Samo operateri imaju pristup SS7, ali ga napadači mogu dobiti kupovinom pristupa na darknetu od operatera u nerazvijenim zemljama ili preko beskrupuloznih radnika mobilnih operatera. Napad se dešava kada napadač promijeni adresu sistema naplate pretplatnika u svoju vlastitu adresu. Najčešće napadači obaveštavaju sistem da je pretplatnik u međunarodnom romingu, pa je najlakši način da se zaštitite da onemogućite međunarodni roming ako ga ne koristite.
Aleksej Mironov još nije imao dvofaktorski sistem autentifikacije konfigurisan za Vkontakte. Ova funkcija u VK u junu 2014. Možda bi mogla zaštititi njegov račun od hakovanja. Vrijedi zapamtiti da jednostavno povezivanje računa s telefonskim brojem nije dvofaktorska autentifikacija. — ovo je zaštita prijave na nalog kada se pored lozinke izvrši još jedna radnja. Najčešća opcija je SMS kod. Ova metoda nije najpouzdanija, jer napadači mogu presresti SMS poruku. Sigurnije opcije su ključna datoteka, privremeni kodovi, mobilna aplikacija i hardverski token.
Nažalost, primorani smo živjeti u eri u kojoj osiguranje sigurnosti podataka postaje naš vlastiti problem. Nadaju se da će operateri samostalno snositi odgovornost u slučaju hakovanja, ali očito to nije slučaj. Kao i oslanjanje na Roskomnadzor, koji je odavno odvojen od stvarnosti u svojim praksama zaštite podataka. Nevjerovatno je teško probiti oklop “materijala za odbijanje” lokalnog policajca koji će primiti vašu prijavu u sličnom slučaju, pogotovo za običnog čovjeka koji ne zna kako ovaj sistem funkcionira. Šta ostaje? Ne zaboravite na digitalnu higijenu, vjerujte matematici i branite svoja prava na sudu.
izvor: www.habr.com