Podvodníci ukradli stránku VKontakte podnikatele Alexey Mironova kvůli zranitelnosti v systému identifikace zákazníků MTS. Sociální síť ho majiteli nikdy nevrátila a požaduje po něm nemožné. Nyní za to žaluje VKontakte. Zastupuje ho Centrum pro digitální práva.
Alexey Mironov je zakladatelem řetězce Jeffrey's Coffee. Jedná se o franšízu kaváren v Moskvě a regionech. Alexey často komunikoval s kolegy a partnery na VKontakte a udržoval tam velmi populární veřejnou stránku pro svou síť, čítající více než 50 000 odběratelů.
V listopadu 2018, brzy ráno, když byl Alexey na služební cestě v Číně, byla jeho stránka VKontakte napadena. Dostal SMS od VKontakte, WhatsApp a zprávu od operátora MTS, která říkala, že je nastaveno přesměrování na jiné číslo. Alexey nenastavil předávání, takže se okamžitě znepokojil a zavolal MTS. Dokonce ani okamžitě nezjistili, že skutečně došlo k přesměrování. Operátor jej dokázal vypnout pouhé dvě hodiny po Alexeyho hovoru. MTS nikdy nenašel údaje o tom, jak a kdy bylo přesměrování aktivováno.
Alexey zkontroloval přístup k sociálním sítím a instant messengerům a zjistil, že se k nim již nemůže přihlásit pomocí svého telefonního čísla. Hackeři propojili s jeho účty další číslo. S WhatsApp byl problém rychle vyřešen. Ihned po zrušení přeposílání obnovil messenger přístup k účtu oprávněnému majiteli.
Alexey napsal na podporu VKontakte a požádal o vrácení stránky a poslal fotografii svého pasu. Večer mu přišla SMS, že žádost byla zamítnuta, protože současný majitel potvrdil právo přístupu.
Specialista technické podpory uvedl, že Alexey mohl dobrovolně převést přístup na svou stránku na třetí strany, takže mu přístup neobnoví. Alexey vysvětlil situaci hackerů, ale byl požádán, aby poslal potvrzovací dopis od MTS, ve kterém by operátor potvrdil, že k hacku došlo. Alexey poskytl dopis od MTS. Poté správa VKontakte požadovala, aby byl tento dopis potvrzen policií. Tento požadavek je velmi obtížné splnit, protože není úkolem policie potvrzovat dopisy a pověřovací listiny signatáře. Alexey dokázal zablokovat hacknutou stránku pouze tím, že se osobně zeptal zaměstnanců VKontakte, že o tom věděl. Stránka dosud nebyla vrácena. Jediné, čeho Alexey dosáhl, bylo zablokování jeho účtu. Nyní jej nemohou používat ani podvodníci, ani on sám.
Služba podpory VKontakte je jiný příběh. Službu podpory VKontakte mohou kontaktovat pouze oprávnění uživatelé. To znamená, že pokud ztratíte přístup ke své stránce, musíte vytvořit novou nebo požádat své přátele, aby umožnili přístup na jejich stránky, abyste mohli psát na podporu. Alexey korespondoval se specialisty podpůrných služeb ze stránky své manželky, a to je neobtěžovalo, ačkoli uživatelská smlouva neumožňuje přenos přihlašovacího jména a hesla na někoho jiného.
Nabourání stránky a další ztráta přístupu k účtu a veřejné stránce zjevně poškodila jak Alexeyho obchodní reputaci, tak jeho majetkové zájmy. Nemluvě o tom, že to umožnilo únik značného množství osobních a komerčních informací do neznámých destinací. Podvodníci z podnikatelova účtu požádali jeho přátele, aby jim převedli velké částky peněz. Jedna osoba jim převedla 34 tisíc rublů. Útočníci měli přístup k osobním informacím z Alexeyho účtu po dobu XNUMX hodin.
Žaloba proti VKontakte
Alexej Mironov podal žalobu na sociální síť VKontakte u Smolninského okresního soudu v Petrohradu a nyní čeká na přidělení případu. Žádá soud, aby zavázal sociální síť k plnění vlastní dohody uzavřené formou Uživatelské smlouvy a vrátil mu přístup na jeho stránku. K dnešnímu dni administrace VKontakte nadále nepřiměřeně připravuje Alexeyho o přístup k jeho účtu, přičemž svědomitě dodržoval podmínky uživatelské smlouvy a okamžitě o hacku informoval službu technické podpory sociální sítě. Společnost VKontakte odmítla obnovit svůj přístup na stránku s odkazem na klauzuli v uživatelské smlouvě, která uživatelům zakazuje přenášet přihlašovací jméno a heslo své stránky na třetí strany. Agent podpory VKontakte, se kterým Alexey mluvil, uvedl, že přesměrování telefonních čísel můžete nastavit pouze tak, že navštívíte kancelář operátora a předložíte svůj pas. Ve skutečnosti tomu tak není a Roskomnadzor to potvrdil v reakci na Alexeyho odvolání.
Sociální síť v rozporu s Uživatelskou smlouvou bezdůvodně omezila Alexeyho přístup k používání jeho stránky. Jedná se o jednostranné odmítnutí plnění povinností, porušující odst. 1 čl. 30 Občanského zákoníku Ruské federace. Tím, že mu VK odebral přístup k jeho účtu, zbavil Alexeyho také práv spravovat jeho veřejnou stránku, která je pro něj důležitým nehmotným majetkem. (Psali jsme o veřejném trhu jako nové formě digitálního vlastnictví a zvláštnostech uzavírání transakcí s nimi )
Bezpečnostní díry v identifikačním systému MTS
Z korespondence, kterou podvodníci vedli jménem podnikatele, vyplývá, že o jeho služební a pracovní cestě věděli. Zavolali na kontaktní centrum MTS, dokázali se identifikovat jménem Alexeyho a nastavit přesměrování hovorů. Útočníci mohli získat údaje o jeho pasu prostřednictvím sociálního inženýrství. Alexey Mironov je zakladatelem franšízy, takže mnoho lidí, kteří se podílejí na otevírání franšízových zařízení, mohlo mít informace o jeho pasu. MTS provedla interní vyšetřování, ale nebyla schopna určit, kdo přesně přeposílání nainstaloval a jak útočník SMS zachytil. Společnost vinu nepřiznala, ale zároveň Alexejovi nabídla velmi podivné odškodnění – 750 rublů.
Domnívali jsme se, že identifikace účastníka na dálku pouze pomocí správných osobních údajů je velmi pochybná praxe, a napsali jsme stížnost na Roskomnadzor, abychom ověřili soulad tohoto druhu firemního procesu s požadavky právních předpisů o osobních údajích. V důsledku toho se Roskomnadzor postavil na stranu MTS a poukázal na to, že správa komunikačních služeb po vzdálené identifikaci telefonem při poskytování správných osobních údajů je zcela normální a stanovení dalších metod ochrany proti tomuto druhu neoprávněných akcí je pro samotného účastníka bolestí hlavy, nikoli společnost . (přečíst celou odpověď - )
Hackování účtu Alexey Mironova není prvním případem neoprávněného přístupu k datům předplatitelů MTS. V roce 2018 databáze 500 tisíc předplatitelů v Novosibirsku dva útočníci, z nichž jeden byl zaměstnancem společnosti. Pokusili se prodat databázi za cenu 1 rubl za data jednoho předplatitele.
V roce 2016 jich bylo Telegramové účty opozičních aktivistů Georgije Alburova a Olega Kozlovského. Jejich účty byly propojeny s čísly MTS a krátce před hacknutím jim byla zakázána služba SMS a povoleno přeposílání. Nebyly zjištěny ani okolnosti vloupání. V roce 2019 podal Oleg Kozlovsky žalobu na MTS, ale soud ji zamítl.
Za ochranu účtů různých webových služeb a aplikací před hackováním zodpovídá sám uživatel. Tento postoj sdílejí jak telekomunikační operátoři, tak samotný regulátor, podle kterého se o tato rizika odmítají dělit s vlastními předplatiteli.
RKN to ve své odpovědi popisuje takto:
„... Podle článku 2.11 Podmínek MTS je účastníkům od telekomunikačního operátora poskytnuta pro účely identifikace možnost použít Kódové slovo - posloupnost symbolů (písmen, číslic) určených Účastníkem ve formě stanovené Provozovatele, který slouží k identifikaci Účastníka při uzavírání Smlouvy. Účastník má možnost nastavit si kódové slovo jak při uzavírání smlouvy (v tomto případě se zadává do formuláře smlouvy s povinnými údaji), tak i kdykoli v průběhu realizace smlouvy. Navzdory tomu předplatitel Mironov A.K. kódové slovo nebylo nastaveno před sporným připojením služby. Za takových okolností mohl pouze účastník tím, že stanovil kódové slovo při identifikaci s telekomunikačním operátorem, neutralizovat riziko nepříznivých důsledků z takových situací, ale této příležitosti nevyužil.“
Obnovení účtu. Nesplnitelná mise
Stížnost na nečinnost Roskomnadzoru již byla podána na státní zastupitelství. Policie zatím o oznámení o trestném činu nadále mlčí. Ani uvnitř firmy se k výsledkům vyšetřování nikdo nic nehlásí. MTS žádnou vinu nepřipouští. Nikoho to nezajímá. Zároveň VKontakte nadále odmítá vlastníka účtu obnovit přístup k němu, dokud nepřinese od policie Usnesení o zahájení trestního řízení o zjištění uvedených skutečností a dopis od MTS, který potvrdí, že služba přesměrování je sporná. V dopise s poměrně obsáhlým vysvětlením je také požadavek, že Mironov musí také doložit potvrzení od MTS, že je jediným (a jaký, někde operátoři registrují společné vlastnictví telefonních čísel?) uživatelem telefonního čísla, které bylo spojeno s strana. Odpověď dorazila na konci minulého týdne a vzhledem k patové situaci a nemožnosti se s VKontakte dohodnout už půl roku, jsme se obrátili na soud.
Jak se chránit před hackováním
Přístup ke správě telefonního čísla mohou útočníci získat i přes další zranitelnosti – protokol SS7 nebo získání duplicitní SIM karty s pomocí bezohledných zaměstnanců operátora.
SS7 je technický protokol používaný telekomunikačními operátory. Obsahuje starý a zřejmě neodstranitelný , který umožňuje zachytit data přenášená účastníky během hovoru nebo prostřednictvím SMS. Přístup k SS7 mají pouze operátoři, ale útočníci jej mohou získat zakoupením přístupu na darknet od operátorů v nerozvinutých zemích nebo prostřednictvím bezohledných zaměstnanců mobilních operátorů. K útoku dochází, když útočník změní adresu fakturačního systému účastníka na jeho vlastní adresu. Útočníci nejčastěji informují systém, že účastník je v mezinárodním roamingu, takže nejjednodušší způsob, jak se chránit, je zakázat mezinárodní roaming, pokud jej nepoužíváte.
Alexey Mironov ještě neměl pro Vkontakte nakonfigurovaný dvoufaktorový autentizační systém. Tato funkce ve VK v červnu 2014. Možná by mohla ochránit jeho účet před hackery. Je třeba si uvědomit, že pouhé propojení účtu s telefonním číslem není dvoufaktorové ověření. — jedná se o ochranu přihlášení k účtu, když je kromě hesla provedena i jiná akce. Nejběžnější možností je SMS kód. Tato metoda není nejspolehlivější, protože útočníci mohou SMS zprávu zachytit. Bezpečnější možnosti jsou soubor klíče, dočasné kódy, mobilní aplikace a hardwarový token.
Bohužel jsme nuceni žít v době, kdy se zajištění bezpečnosti dat stává naším vlastním problémem. Doufají, že operátoři ponesou samostatně odpovědnost v případě hacknutí, ale zjevně tomu tak není. Stejně jako spoléhání se na Roskomnadzor, který je ve svých postupech ochrany údajů již dlouho odtržen od reality. Prolomit pancíř „odmítavého materiálu“ místního policisty, který obdrží vaši žádost v podobném případě, je neuvěřitelně obtížné, zejména pro běžného člověka, který neví, jak tento systém funguje. Co zůstává? Nezapomínejte na digitální hygienu, důvěřujte matematice a hájte svá práva u soudu.
Zdroj: www.habr.com