Fraudsters arrubbatu a pagina VKontakte di l'imprenditore Alexey Mironov per via di una vulnerabilità in u sistema di identificazione di i clienti MTS. A reta suciali ùn hà mai tornatu à u so patrone è esige l'impossibile da ellu. Avà hè accusatu VKontakte per questu. Hè rapprisintatu da u Centru per i Diritti Digitali.
Alexey Mironov hè u fundatore di a catena Jeffrey's Coffee. Questa hè una franchizia di caffè in Mosca è e regioni. Alexey hà spessu cumunicatu cù i culleghi è i partenarii nantu à VKontakte è mantene una pagina publica assai populari per a so reta, cun più di 50 000 abbonati.
In nuvembre 2018, prima matina, quandu Alexey era in un viaghju di cummerciale in Cina, a so pagina VKontakte hè stata piratata. Hà ricivutu SMS da VKontakte, WhatsApp è un missaghju da l'operatore MTS, chì hà dettu chì l'invio à un altru numeru hè statu stallatu. Alexey ùn hà micca stallatu l'invio, cusì hè subitu preoccupatu è chjamatu MTS. Ùn anu mancu immediatamente determinatu chì ci era veramente un redirect. L'operatore hà sappiutu disattivà solu duie ore dopu a chjama di Alexey. MTS ùn hà mai trovu dati nantu à cumu è quandu a spedizione hè stata attivata.
Alexey hà verificatu l'accessu à e rete soziale è i messageri instantani è hà vistu chì ùn pudia più accede à elli cù u so numeru di telefunu. I pirate anu ligatu un altru numeru à i so cunti. Cù WhatsApp u prublema hè stata risolta rapidamente. Immediatamente dopu à annullà l'invio, u messaggeru restaurà l'accessu à u contu à u pruprietariu legittimu.
Alexey hà scrittu à u supportu VKontakte dumandendu di vultà a pagina è hà mandatu una foto di u so passaportu. A sera hà ricevutu un SMS chì l'applicazione hè stata rifiutata, postu chì u pruprietariu attuale hà cunfirmatu u dirittu di accessu.
Un specialistu di supportu tecnicu hà dichjaratu chì Alexey puderia trasfiriri vuluntariamente l'accessu à a so pagina à terze parti, perchè ùn restaurà micca u so accessu. Alexey spiegò a situazione di pirate, ma hè statu dumandatu à mandà una lettera di cunferma da MTS, in quale l'operatore cunfirmà chì un pirate hè accadutu. Alexey hà furnitu una lettera da MTS. Dopu questu, l'amministrazione di VKontakte hà dumandatu chì sta lettera sia certificata da a polizia. Stu requisitu hè assai difficiuli di cumpiendu perchè ùn hè micca a funzione di a polizia di certificà e lettere è e credenziali di u firmatariu. Alexey hà sappiutu bluccà a pagina piratata solu dumandendu personalmente à l'impiegati di VKontakte chì a sapia. A pagina ùn hè ancu tornata. L'unicu ciò chì Alexey hà ottinutu era bluccà u so contu. Avà nè scammers nè ellu stessu pò aduprà.
U serviziu di supportu VKontakte hè una storia diversa. Solu l'utilizatori autorizati ponu cuntattà u serviziu di supportu VKontakte. Questu significa chì si perde l'accessu à a vostra pagina, duvete creà una nova o dumandà à i vostri amichi per dà accessu à e so pagine per scrive in supportu. Alexey hà currispundenza cù i specialisti di u serviziu di supportu da a pagina di a so moglia, è questu ùn li hà micca disturbatu, ancu s'è l'Acordu d'Usuariu ùn permette micca di trasferisce u login è a password à un altru.
U pirate di a pagina è più perdita di l'accessu à u contu è a pagina publica ovviamente dannu a reputazione cummerciale di Alexey è i so interessi di pruprietà. Per ùn dì chì questu hà permessu una quantità significativa di informazioni persunali è cummerciale per fughje à destinazioni scunnisciute. Fraudsters da u contu di l'imprenditore dumandò à i so amichi di trasfiriri grandi quantità di soldi. Una persona li trasfirìu 34 mila rubles. L'attaccanti avianu accessu à l'infurmazioni persunali da u contu di Alexey per XNUMX ore.
Procura contr'à VKontakte
Alexey Mironov hà presentatu una demanda contr'à a reta suciale VKontakte in u tribunale distrettuale di Smolninsky di San Petruburgu è avà aspetta l'assignazione di u casu. Ellu dumanda à u tribunale per obligà a reta suciale à cumpiendu u so propiu accordu, cunclusu in a forma di un Acordu d'Usuariu, è rinvià l'accessu à a so pagina. Finu à questu ghjornu, l'amministrazione di VKontakte cuntinueghja à privà Alexey di l'accessu à u so contu senza ragiuni, mentre ch'ellu hà cunsacratu cunsciente cù i termini di l'Acordu di l'Usuariu è immediatamente infurmatu u serviziu di supportu tecnicu di a reta suciale nantu à u pirate. VKontakte hà ricusatu di restaurà u so accessu à a pagina, citendu una clause in l'Acordu d'Usuariu chì pruibisce l'utilizatori di trasferisce a so pagina di login è password à terzi. L'agente di supportu di VKontakte cù quale Alexey hà parlatu hà dichjaratu chì pudete stabilisce l'invio di u numeru di telefunu solu visitendu l'uffiziu di l'operatore è presentendu u vostru passaportu. In fatti, questu ùn hè micca u casu, è questu hè statu cunfirmatu da Roskomnadzor in risposta à l'appellu di Alexey.
A rete suciale, in violazione di l'Acordu di l'Usuariu, hà limitatu senza ragiuni l'accessu di Alexey à l'usu di a so pagina. Il s'agit d'un refus unilatéral de s'acquitter des obligations, qui viole le paragraphe 1 de l'Art. 30 Codice Civile di a Federazione Russa. Privandulu l'accessu à u so contu, VK hà ancu privatu Alexey di i diritti di amministrari a so pagina publica, chì hè un attivu immateriale impurtante per ellu. (Avemu scrittu annantu à u mercatu publicu cum'è una nova forma di pruprietà digitale è e peculiarità di cuncludi transacciones cun elli )
Fori di sicurezza in u sistema di identificazione MTS
A currispundenza realizata da i scammers in nome di l'imprenditore mostra chì sapianu u so viaghju di cummerciale è di cummerciale. Chjamavanu u centru di cuntattu MTS, anu sappiutu identificà si in nome di Alexey è stabiliscenu l'inviu di chjama. L'attaccanti puderanu ottene e so dati di passaportu attraversu l'ingegneria suciale. Alexey Mironov hè u fundatore di a franchizia, cusì parechje persone implicate in l'apertura di stabilimenti di franchising puderanu avè u so infurmazione di passaportu. MTS hà realizatu una investigazione interna, ma ùn hè stata capace di determinà quale hè stallatu esattamente l'invio è cumu l'attaccante hà interceptatu l'SMS. A cumpagnia ùn hà micca ammissu a culpabilità, ma à u stessu tempu offre à Alexey una compensazione assai strana - 750 rubles.
Avemu cunsideratu chì l'identificazione di un abbonatu remotamente solu cù e dati persunali curretti hè una pratica assai dubbiosa è hà scrittu una lagnanza à Roskomnadzor per verificà a conformità di stu tipu di prucessu di a cumpagnia cù i requisiti di a legislazione nantu à i dati persunali. In u risultatu, Roskomnadzor hà partitu cù MTS, indicà chì a gestione di i servizii di cumunicazione dopu l'identificazione remota per u telefunu mentre furnisce e dati persunali curretti hè abbastanza normale, è stabilisce metudi supplementari di prutezzione contru stu tipu d'azzioni micca autorizate hè un mal di testa per l'abbonatu stessu, micca. a cumpagnia. (leghje a risposta completa - )
U pirate di u contu di Alexey Mironov ùn hè micca u primu casu di accessu micca autorizatu à i dati di l'abbonati MTS. In 2018, a basa di dati di 500 mila abbonati in Novosibirsk dui attaccanti, unu di i quali era un impiegatu di a cumpagnia. Pruvanu di vende a basa di dati à un prezzu di 1 rublu per i dati di un abbonatu.
In 2016 ci eranu Conti di Telegram di l'attivisti di l'uppusizione Georgy Alburov è Oleg Kozlovsky. I so cunti sò stati ligati à i numeri MTS, è pocu prima di u pirate, u so serviziu SMS hè statu disattivatu è l'invio hè attivatu. E circustanze di u break-in ùn sò ancu stabilite. In u 2019, Oleg Kozlovsky hà presentatu una querela contr'à MTS, ma u tribunale l'hà rifiutatu.
A prutezzione di i cunti di diversi servizii web è applicazioni da u pirate hè a rispunsabilità di l'utilizatore stessu. Sta pusizioni hè spartuta da i dui operatori di telecomunicazioni è da u regulatore stessu, secondu a quale si ricusanu di sparte questi risichi cù i so abbonati.
RKN u descriva cusì in a so risposta:
"... Sicondu a clause 2.11 di e Cundizioni MTS, per scopi d'identificazione, l'abbonati da l'operatore di telecomunicazione sò datu l'uppurtunità di utilizà una Parola di Codice - una sequenza di simboli (lettere, numeri) specificata da l'Abbonatu in a forma stabilita da l'Operatore, chì serve per identificà l'Abbonatu quandu eseguisce l'Acordu. L'abbonatu hà l'uppurtunità di stabilisce una parolla di codice sia quandu cunclude un accordu (in questu casu hè inseritu in a forma di accordu cù i dettagli obligatorii) è in ogni mumentu durante l'esekzione di l'accordu. Malgradu questu, l'abbonatu Mironov A.K. a parolla codice ùn hè statu stabilitu prima di a cunnessione disputata di u serviziu. In tali circustanze, solu l'abbonatu, stabilendu una parolla di codice durante l'identificazione cù l'operatore di telecomunicazione, puderia neutralizà u risicu di cunsiquenzi avversi da tali situazioni, ma ùn hà micca apprufittatu di sta opportunità ".
Recuperazione di u contu. Mission impossible
Una lagnanza annantu à l'inazione di Roskomnadzor hè digià stata presentata à l'uffiziu di u procuratore. Intantu, a polizia cuntinueghja à stà in silenziu annantu à u rapportu di crimine. Nimu ùn informa nunda in a cumpagnia nantu à i risultati di l'investigazione. MTS ùn ammette alcuna culpabilità. Nimu ùn importa. À u listessu tempu, VKontakte cuntinueghja à ricusà u pruprietariu di u contu per restaurà l'accessu finu à ch'ellu porta da a polizia una Risoluzione per inizià una causa penale chì stabilisce i fatti specificati è una lettera da MTS, chì cunfirmà chì u serviziu di redirezzione hè contestable. In a lettera cù spiegazioni abbastanza largu, ci hè ancu un requisitu chì Mironov deve ancu furnisce un certificatu da MTS chì ellu hè l'unicu (è chì, in qualchì locu l'operatori registranu a pruprietà cumuna di numeri di telefunu?) utilizatore di u numeru di telefunu chì era ligatu cù a pagina. A risposta hè ghjunta à a fine di a settimana passata, è datu l'impassu in a situazione è l'impossibilità di ghjunghje à un accordu cù VKontakte per sei mesi, andemu in tribunale.
Cumu prutegge sè stessu da u pirate
L'attaccanti ponu ancu accede à a gestione di un numeru di telefunu attraversu altre vulnerabilità - u protocolu SS7 o ottene una carta SIM duplicata cù l'aiutu di l'impiegati di l'operatore senza scrupulu.
SS7 hè un protokollu tecnicu utilizatu da l'operatori di telecomunicazioni. Contene un vechju è apparentemente unremovable , chì permette di interceptà e dati trasmessi da l'abbonati durante una chjama o via SMS. Solu l'operatori anu accessu à SS7, ma l'attaccanti ponu uttene acquistendu l'accessu nantu à a darknet da l'operatori in i paesi sottusviluppati o attraversu l'impiegati senza scrupulu di l'operatori mobili. Un attaccu accade quandu un attaccante cambia l'indirizzu di u sistema di fatturazione di l'abbonatu à u so propiu indirizzu. A maiò spessu, l'attaccanti informanu u sistema chì l'abbonatu hè in roaming internaziunale, cusì u modu più faciule per pruteggià sè stessu hè di disattivà u roaming internaziunale se ùn l'utilizate micca.
Alexey Mironov ùn hà ancu avè un sistema di autentificazione à dui fattori cunfigurati per Vkontakte. Sta funzione in VK in ghjugnu 2014. Forse puderia prutegge u so contu da esse pirate. Hè vale a pena ricurdà chì a simplicità di ligà un contu à un numeru di telefunu ùn hè micca una autentificazione à dui fattori. - questu hè a prutezzione di login à un contu quandu, in più di a password, una altra azione hè realizata. L'opzione più cumuna hè un codice SMS. Stu metudu ùn hè micca u più affidabile, postu chì l'attaccanti ponu intercepte u messagiu SMS. Opzioni più sicure sò un schedariu chjave, codici tempuranee, una applicazione mobile è un token hardware.
Sfurtunatamente, simu furzati à campà in una era induve assicurà a sicurità di dati diventa u nostru prublema. Speranu chì l'operatori purtaranu indipindentamente a responsabilità in casu di pirate, ma apparentemente ùn hè micca u casu. In quantu à s'appoghjanu à Roskomnadzor, chì hè longu divorziatu da a realità in e so pratiche di prutezzione di dati. Hè incredibbilmente difficiule di rompe l'armatura di u "materiale di rifiutu" di l'ufficiale di pulizie lucale chì riceverà a vostra dumanda in un casu simili, soprattuttu per una persona ordinaria chì ùn cunnosci micca cumu funziona stu sistema. Chì ferma ? Ùn vi scurdate di l'igiene digitale, fiducia in matematica è difende i vostri diritti in tribunale.
Source: www.habr.com