Gikawat sa mga mangingilad ang panid sa VKontakte sa negosyante nga si Alexey Mironov tungod sa pagkahuyang sa sistema sa pag-ila sa kustomer sa MTS. Ang social network wala gayud ibalik kini sa tag-iya niini ug gipangayo ang imposible gikan kaniya. Karon gikiha niya ang VKontakte alang niini. Girepresentahan siya sa Center for Digital Rights.
Si Alexey Mironov mao ang nagtukod sa Jeffrey's Coffee chain. Kini usa ka prangkisa sa mga tindahan sa kape sa Moscow ug sa mga rehiyon. Si Alexey kanunay nga nakigsulti sa mga kauban ug kauban sa VKontakte ug nagpadayon sa usa ka popular kaayo nga panid sa publiko alang sa iyang network didto, nga nag-ihap sa labaw sa 50 nga mga subscriber.
Niadtong Nobyembre 2018, sayo sa buntag, sa dihang si Alexey nagbiyahe sa negosyo sa China, ang iyang pahina sa VKontakte gi-hack. Nakadawat siya og SMS gikan sa VKontakte, WhatsApp ug usa ka mensahe gikan sa operator sa MTS, nga nag-ingon nga ang pagpasa sa laing numero gipahimutang. Wala gipahimutang ni Alexey ang pagpasa, mao nga nabalaka dayon siya ug gitawag ang MTS. Wala gani dayon nila matino nga duna gyuy redirect. Ang operator nakahimo sa pagpalong niini duha lang ka oras human sa pagtawag ni Alexey. Wala gyud makit-an sa MTS ang datos kung giunsa ug kanus-a gi-aktibo ang pagpasa.
Gisusi ni Alexey ang pag-access sa mga social network ug instant messenger ug nakita nga dili na siya maka-log in niini gamit ang iyang numero sa telepono. Gi-link sa mga hacker ang laing numero sa iyang mga account. Uban sa WhatsApp ang isyu nasulbad dayon. Diha-diha dayon human sa pagkansela sa pagpasa, ang messenger mibalik sa pag-access sa account ngadto sa tinuod nga tag-iya.
Nagsulat si Alexey sa suporta sa VKontakte nga naghangyo nga ibalik ang panid ug nagpadala usa ka litrato sa iyang pasaporte. Sa gabii nakadawat siya usa ka SMS nga gisalikway ang aplikasyon, tungod kay gikumpirma sa karon nga tag-iya ang katungod sa pag-access.
Usa ka espesyalista sa teknikal nga suporta nag-ingon nga si Alexey mahimong boluntaryo nga ibalhin ang pag-access sa iyang panid sa mga ikatulo nga partido, aron dili nila ibalik ang iyang pag-access. Gipatin-aw ni Alexey ang sitwasyon sa pag-hack, apan gihangyo siya nga magpadala usa ka sulat sa kumpirmasyon gikan sa MTS, diin gikumpirma sa operator nga usa ka hack ang nahitabo. Naghatag si Alexey og sulat gikan sa MTS. Pagkahuman niini, ang administrasyon sa VKontakte nangayo nga kini nga sulat sertipikado sa pulisya. Lisod kaayo tumanon kining maong rekisitos tungod kay dili katungdanan sa kapolisan ang pag-certify sa mga suwat ug kredensyal sa mipirma. Nababagan ni Alexey ang na-hack nga panid pinaagi lamang sa personal nga pagpangutana sa mga empleyado sa VKontakte nga nahibal-an niya bahin niini. Ang panid wala pa gibalik. Ang bugtong butang nga nakab-ot ni Alexey mao ang pag-block sa iyang account. Karon ang mga mangingilad o siya mismo dili makagamit niini.
Ang serbisyo sa suporta sa VKontakte lahi nga istorya. Ang mga awtorisado nga tiggamit lamang ang makakontak sa serbisyo sa suporta sa VKontakte. Nagpasabot kini nga kung mawad-an ka og access sa imong panid, kinahanglang maghimo ka og bag-o o hangyoa ang imong mga higala sa paghatag og access sa ilang mga panid aron makasulat isip suporta. Si Alexey nakigsulti sa mga espesyalista sa serbisyo sa suporta gikan sa panid sa iyang asawa, ug wala kini makahasol kanila, bisan kung ang Kasabutan sa Gumagamit wala magtugot sa pagbalhin sa login ug password sa lain.
Ang pag-hack sa panid ug dugang nga pagkawala sa pag-access sa account ug publiko nga panid klaro nga nakadaot sa reputasyon sa negosyo ni Alexey ug sa iyang mga interes sa kabtangan. Wala pay labot nga gitugotan niini ang daghang personal ug komersyal nga kasayuran nga makatulo sa wala mailhi nga mga destinasyon. Ang mga mangingilad gikan sa account sa negosyante mihangyo sa iyang mga higala nga ibalhin silag dakong kantidad sa kuwarta. Usa ka tawo ang mibalhin kanila og 34 ka libo nga mga rubles. Ang mga tig-atake adunay access sa personal nga impormasyon gikan sa account ni Alexey sulod sa XNUMX oras.
Pagkiha batok sa VKontakte
Gisang-at ni Alexey Mironov ang usa ka kiha batok sa social network nga VKontakte sa Smolninsky District Court sa St. Petersburg ug karon naghulat sa pagtudlo sa kaso. Gihangyo niya ang korte nga obligado ang social network nga tumanon ang kaugalingon nga kasabutan, gitapos sa porma sa usa ka Kasabutan sa Gumagamit, ug ibalik kaniya ang pag-access sa iyang panid. Hangtud karon, ang administrasyon sa VKontakte nagpadayon sa paghikaw kang Alexey sa pag-access sa iyang account nga dili makatarunganon, samtang siya matinud-anon nga nagsunod sa mga termino sa User Agreement ug diha-diha dayon nagpahibalo sa serbisyo sa teknikal nga suporta sa social network mahitungod sa hack. Nagdumili ang VKontakte nga ibalik ang iyang pag-access sa panid, nga gikutlo ang usa ka clause sa Kasabutan sa Gumagamit nga nagdili sa mga tiggamit sa pagbalhin sa ilang login ug password sa panid sa mga ikatulo nga partido. Ang ahente sa suporta sa VKontakte nga nakigsulti kang Alexey nag-ingon nga mahimo nimong i-set up ang pagpasa sa numero sa telepono pinaagi lamang sa pagbisita sa opisina sa operator ug pagpresentar sa imong pasaporte. Sa tinuud, dili kini ang kaso, ug kini gikumpirma sa Roskomnadzor agig tubag sa apela ni Alexey.
Ang social network, sa paglapas sa Kasabutan sa Gumagamit, dili makatarunganon nga limitado ang pag-access ni Alexey sa paggamit sa iyang panid. Kini usa ka unilateral nga pagdumili sa pagtuman sa mga obligasyon, nga naglapas sa parapo 1 sa Art. 30 Civil Code sa Russian Federation. Pinaagi sa paghikaw kaniya sa pag-access sa iyang account, gihikawan usab sa VK si Alexey sa mga katungod sa pagdumala sa iyang publikong panid, nga usa ka importante nga dili mahikap nga kabtangan alang kaniya. (Gisulat namon ang bahin sa merkado publiko ingon usa ka bag-ong porma sa digital nga kabtangan ug ang mga lahi sa pagtapos sa mga transaksyon uban nila. )
Mga lungag sa seguridad sa sistema sa pag-ila sa MTS
Ang mga sulat nga gihimo sa mga scammers alang sa negosyante nagpakita nga nahibal-an nila ang bahin sa iyang negosyo ug pagbiyahe sa negosyo. Gitawagan nila ang contact center sa MTS, nakahimo sa pag-ila sa ilang kaugalingon sa ngalan ni Alexey ug nag-set up sa pagpasa sa tawag. Mahimong makuha sa mga tig-atake ang iyang datos sa pasaporte pinaagi sa social engineering. Si Alexey Mironov mao ang nagtukod sa prangkisa, busa daghang mga tawo nga nalambigit sa pag-abli sa mga establisemento sa prangkisa ang makakuha sa iyang impormasyon sa pasaporte. Naghimo og internal nga imbestigasyon ang MTS, apan wala matino kung kinsa ang eksaktong nag-install sa pagpasa ug giunsa pag-intercept sa tig-atake ang SMS. Ang kompaniya wala moangkon sa pagkasad-an, apan sa samang higayon gitanyag Alexey usa ka talagsaon nga bayad - 750 ruble.
Among gikonsiderar nga ang pag-ila sa usa ka subscriber sa layo nga naggamit lamang sa husto nga personal nga datos usa ka kadudahan nga praktis ug misulat og reklamo ngadto sa Roskomnadzor aron mapamatud-an ang pagsunod niini nga matang sa proseso sa kompaniya sa mga kinahanglanon sa lehislasyon sa personal nga datos. Ingon nga resulta, ang Roskomnadzor midapig sa MTS, nga nagpunting nga ang pagdumala sa mga serbisyo sa komunikasyon human sa hilit nga pag-ila pinaagi sa telepono samtang ang paghatag sa husto nga personal nga datos kay normal, ug ang pagtukod og dugang nga mga pamaagi sa pagpanalipod batok niini nga matang sa dili awtorisado nga mga aksyon usa ka sakit sa ulo alang sa subscriber sa iyang kaugalingon, dili. ang kompanya . (basaha ang tibuok tubag - )
Ang pag-hack sa account ni Alexey Mironov dili ang unang kaso sa dili awtorisadong pag-access sa data sa subscriber sa MTS. Sa 2018, ang database sa 500 ka libo nga mga subscriber sa Novosibirsk duha ka tig-atake, usa niini empleyado sa kompanya. Gisulayan nila nga ibaligya ang database sa presyo nga 1 ruble alang sa datos sa usa ka subscriber.
Sa 2016 adunay Mga account sa telegrama sa mga aktibista sa oposisyon nga sila Georgy Alburov ug Oleg Kozlovsky. Ang ilang mga account gi-link sa mga numero sa MTS, ug sa wala pa ang hack, ang ilang serbisyo sa SMS na-disable ug gipasa ang pagpasa. Ang mga sirkumstansya sa break-in wala usab matukod. Sa 2019, si Oleg Kozlovsky nagsang-at og kaso batok sa MTS, apan gisalikway kini sa korte.
Ang pagpanalipod sa mga account sa lainlaing mga serbisyo sa web ug aplikasyon gikan sa pag-hack mao ang responsibilidad sa tiggamit mismo. Kini nga posisyon gipaambit sa duha ka telecom operators ug sa regulator mismo, diin sila nagdumili sa pagpaambit niini nga mga risgo sa ilang kaugalingong mga subscriber.
Gihulagway kini sa RKN niining paagiha sa tubag niini:
"... Sumala sa clause 2.11 sa mga Kondisyon sa MTS, alang sa mga katuyoan sa pag-ila, ang mga subscriber gikan sa telecom operator gihatagan og oportunidad sa paggamit sa usa ka Code Word - usa ka han-ay sa mga simbolo (mga letra, mga numero) nga gipiho sa Subscriber sa porma nga gitukod ni ang Operator, nga nagsilbi aron mailhan ang Subscriber kung ipatuman ang Kasabutan. Ang suskritor adunay higayon nga magbutang usa ka pulong nga code sa pagtapos sa usa ka kasabutan (sa kini nga kaso gisulod kini sa porma sa kasabutan kauban ang mga mandatory nga detalye) ug sa bisan unsang oras sa panahon sa pagpatuman sa kasabutan. Bisan pa niini, ang subscriber nga si Mironov A.K. ang code nga pulong wala ibutang sa wala pa ang gikalalis nga koneksyon sa serbisyo. Ubos sa ingon nga mga kahimtang, ang suskritor lamang, pinaagi sa pag-establisar sa usa ka code nga pulong sa panahon sa pag-ila sa operator sa telecom, mahimong ma-neutralize ang peligro sa dili maayo nga mga sangputanan gikan sa ingon nga mga sitwasyon, apan wala magpahimulos niini nga oportunidad.
Pagbawi sa account. Imposible nga misyon
Usa ka reklamo bahin sa pagkawalay aksyon sa Roskomnadzor nasang-at na sa opisina sa piskal. Samtang, padayong nagpakahilom ang kapulisan sa report sa krimen. Wala’y nagtaho bisan unsa sa sulod sa kompanya bahin sa mga resulta sa imbestigasyon. Ang MTS wala moangkon sa bisan unsang sala. Walay nagpakabana. Sa parehas nga oras, ang VKontakte nagpadayon sa pagdumili sa tag-iya sa account nga ibalik ang pag-access niini hangtod nga nagdala siya gikan sa pulisya usa ka Resolusyon aron sugdan ang usa ka kriminal nga kaso nga nagtukod sa gipiho nga mga kamatuoran ug usa ka sulat gikan sa MTS, nga magpamatuod nga ang serbisyo sa pag-redirect mahimo’g kontra. Sa sulat nga adunay medyo halapad nga pagpatin-aw, adunay usa usab nga kinahanglanon nga si Mironov kinahanglan usab nga maghatag usa ka sertipiko gikan sa MTS nga siya ang bugtong (ug unsa, kung diin ang mga operator nagparehistro sa managsama nga pagpanag-iya sa mga numero sa telepono?) nga tiggamit sa numero sa telepono nga na-link sa ang pahina. Ang tubag miabot sa katapusan sa miaging semana, ug gihatagan ang deadlock sa sitwasyon ug ang imposibilidad sa pagkab-ot sa usa ka kasabutan uban sa VKontakte sulod sa unom ka bulan karon, miadto kami sa korte.
Giunsa pagpanalipod ang imong kaugalingon gikan sa pag-hack
Ang mga tig-atake mahimo usab nga makakuha og access sa pagdumala sa usa ka numero sa telepono pinaagi sa uban nga mga kahuyangan - ang SS7 protocol o pagkuha og usa ka duplicate nga SIM card sa tabang sa walay prinsipyo nga mga empleyado sa operator.
Ang SS7 usa ka teknikal nga protocol nga gigamit sa mga operator sa telecom. Naglangkob kini usa ka karaan ug dayag nga dili matangtang , nga nagtugot kanimo sa pag-intercept sa data nga gipasa sa mga subscriber atol sa usa ka tawag o pinaagi sa SMS. Ang mga operator lamang ang adunay access sa SS7, apan ang mga tig-atake makakuha niini pinaagi sa pagpalit og access sa darknet gikan sa mga operator sa atrasadong mga nasud o pinaagi sa walay prinsipyo nga mga empleyado sa mga mobile operator. Ang usa ka pag-atake mahitabo kung ang usa ka tig-atake nag-ilis sa adres sa sistema sa pagsingil sa subscriber ngadto sa iyang kaugalingong adres. Kasagaran, ang mga tig-atake nagpahibalo sa sistema nga ang subscriber anaa sa internasyonal nga roaming, mao nga ang labing sayon nga paagi sa pagpanalipod sa imong kaugalingon mao ang pag-disable sa internasyonal nga roaming kung dili nimo kini gamiton.
Si Alexey Mironov wala pa adunay duha ka hinungdan nga sistema sa pag-ila nga na-configure alang sa Vkontakte. Kini nga function sa VK niadtong Hunyo 2014. Tingali maprotektahan niya ang iyang account aron dili ma-hack. Angayan nga hinumdoman nga ang pag-link lang sa usa ka account sa usa ka numero sa telepono dili duha ka hinungdan nga panghimatuud. — kini ang panalipod sa pag-login sa usa ka account kung, dugang sa password, adunay lain nga aksyon nga gihimo. Ang labing komon nga kapilian mao ang SMS code. Kini nga pamaagi dili ang labing kasaligan, tungod kay ang mga tig-atake mahimong makapugong sa mensahe sa SMS. Ang mas luwas nga mga kapilian mao ang usa ka yawe nga file, temporaryo nga mga code, usa ka mobile application ug usa ka hardware token.
Ikasubo, napugos kami nga magpuyo sa usa ka panahon diin ang pagsiguro sa seguridad sa datos mahimong among kaugalingon nga problema. Naglaum sila nga ang mga operator independente nga magdala sa responsibilidad kung adunay usa ka hack, apan dayag nga dili kini ang kahimtang. Ingon man usab ang pagsalig sa Roskomnadzor, nga dugay nang nabulag gikan sa kamatuoran sa mga pamaagi sa pagpanalipod sa datos niini. Lisud kaayo ang paglusot sa armadura sa "materyal sa pagdumili" sa lokal nga opisyal sa pulisya nga makadawat sa imong aplikasyon sa parehas nga kaso, labi na sa usa ka ordinaryong tawo nga wala mahibal-an kung giunsa kini nga sistema. Unsay nahibilin? Ayaw kalimti ang bahin sa digital hygiene, pagsalig sa matematika ug pagpanalipod sa imong mga katungod sa korte.
Source: www.habr.com