Fe wnaeth twyllwyr ddwyn tudalen VKontakte yr entrepreneur Alexey Mironov oherwydd bregusrwydd yn system adnabod cwsmeriaid MTS. Nid yw'r rhwydwaith cymdeithasol erioed wedi ei ddychwelyd i'w berchennog ac mae'n mynnu'r amhosibl ganddo. Nawr mae'n siwio VKontakte am hyn. Mae'n cael ei gynrychioli gan y Ganolfan Hawliau Digidol.
Alexey Mironov yw sylfaenydd cadwyn Coffi Jeffrey's. Mae hwn yn fasnachfraint o siopau coffi ym Moscow a'r rhanbarthau. Roedd Alexey yn aml yn cyfathrebu â chydweithwyr a phartneriaid ar VKontakte ac yn cynnal tudalen gyhoeddus boblogaidd iawn ar gyfer ei rwydwaith yno, gyda mwy na 50 o danysgrifwyr.
Ym mis Tachwedd 2018, yn gynnar yn y bore, pan oedd Alexey ar daith fusnes yn Tsieina, cafodd ei dudalen VKontakte ei hacio. Derbyniodd SMS gan VKontakte, WhatsApp a neges gan y gweithredwr MTS, a ddywedodd fod anfon ymlaen i rif arall wedi'i sefydlu. Ni sefydlodd Alexey anfon ymlaen, felly dechreuodd boeni ar unwaith a galwodd MTS. Ni wnaethant hyd yn oed benderfynu ar unwaith bod yna ailgyfeiriad yn wir. Dim ond dwy awr ar ôl galwad Alexey y llwyddodd y gweithredwr i'w ddiffodd. Ni ddaeth MTS erioed o hyd i ddata ar sut a phryd y gweithredwyd yr anfon ymlaen.
Gwiriodd Alexey fynediad i rwydweithiau cymdeithasol a negeswyr gwib a gwelodd na allai fewngofnodi iddynt gan ddefnyddio ei rif ffôn mwyach. Cysylltodd yr hacwyr rif arall â'i gyfrifon. Gyda WhatsApp, cafodd y mater ei ddatrys yn gyflym. Yn syth ar ôl canslo'r anfon ymlaen, adferodd y negesydd fynediad i'r cyfrif i'r perchennog cyfiawn.
Ysgrifennodd Alexey at gefnogaeth VKontakte yn gofyn am ddychwelyd y dudalen ac anfon llun o'i basbort. Gyda'r nos derbyniodd SMS bod y cais wedi'i wrthod, gan fod y perchennog presennol wedi cadarnhau'r hawl mynediad.
Dywedodd arbenigwr cymorth technegol y gallai Alexey drosglwyddo mynediad i'w dudalen yn wirfoddol i drydydd partïon, felly ni fyddant yn adfer ei fynediad. Eglurodd Alexey y sefyllfa hacio, ond gofynnwyd iddo anfon llythyr cadarnhad gan MTS, lle byddai'r gweithredwr yn cadarnhau bod hac wedi digwydd. Darparodd Alexey lythyr gan MTS. Ar ôl hyn, mynnodd y weinyddiaeth VKontakte i'r llythyr hwn gael ei ardystio gan yr heddlu. Mae'r gofyniad hwn yn anodd iawn i'w gyflawni oherwydd nid swyddogaeth yr heddlu yw ardystio llythyrau a manylion y llofnodwr. Roedd Alexey yn gallu rhwystro'r dudalen hacio yn unig trwy ofyn yn bersonol i weithwyr VKontakte yr oedd yn gwybod amdani. Nid yw'r dudalen wedi'i dychwelyd eto. Yr unig beth a gyflawnodd Alexey oedd rhwystro ei gyfrif. Nawr ni all sgamwyr nac ef ei hun ei ddefnyddio.
Mae gwasanaeth cymorth VKontakte yn stori wahanol. Dim ond defnyddwyr awdurdodedig all gysylltu â gwasanaeth cymorth VKontakte. Mae hyn yn golygu os byddwch chi'n colli mynediad i'ch tudalen, mae'n rhaid i chi greu un newydd neu ofyn i'ch ffrindiau roi mynediad i'w tudalennau er mwyn ysgrifennu i gefnogi. Gohebodd Alexey ag arbenigwyr gwasanaeth cymorth o dudalen ei wraig, ac nid oedd hyn yn eu poeni, er nad yw'r Cytundeb Defnyddiwr yn caniatáu trosglwyddo'r mewngofnodi a'r cyfrinair i rywun arall.
Mae hacio’r dudalen a cholli mynediad pellach i’r cyfrif a’r dudalen gyhoeddus yn amlwg wedi niweidio enw da busnes Alexey a’i ddiddordebau eiddo. Heb sôn bod hyn wedi caniatáu i swm sylweddol o wybodaeth bersonol a masnachol ollwng i gyrchfannau anhysbys. Gofynnodd twyllwyr o gyfrif y dyn busnes i’w ffrindiau drosglwyddo symiau mawr o arian iddynt. Trosglwyddwyd 34 rubles iddynt gan un person. Roedd gan yr ymosodwyr fynediad at wybodaeth bersonol o gyfrif Alexey am XNUMX awr.
Cyfreitha yn erbyn VKontakte
Ffeiliodd Alexey Mironov achos cyfreithiol yn erbyn y rhwydwaith cymdeithasol VKontakte yn Llys Dosbarth Smolninsky yn St Petersburg ac mae bellach yn aros am aseiniad yr achos. Mae'n gofyn i'r llys orfodi'r rhwydwaith cymdeithasol i gyflawni ei gytundeb ei hun, a gwblhawyd ar ffurf Cytundeb Defnyddiwr, a dychwelyd mynediad iddo i'w dudalen. Hyd heddiw, mae gweinyddiaeth VKontakte yn parhau i amddifadu Alexey o fynediad i'w gyfrif yn afresymol, tra ei fod yn cydymffurfio'n gydwybodol â thelerau'r Cytundeb Defnyddiwr ac yn hysbysu gwasanaeth cymorth technegol y rhwydwaith cymdeithasol ar unwaith am y darnia. Gwrthododd VKontakte adfer ei fynediad i'r dudalen, gan nodi cymal yn y Cytundeb Defnyddiwr sy'n gwahardd defnyddwyr rhag trosglwyddo eu mewngofnodi tudalen a'u cyfrinair i drydydd partïon. Dywedodd yr asiant cymorth VKontakte y siaradodd Alexey ag ef mai dim ond trwy ymweld â swyddfa'r gweithredwr a chyflwyno'ch pasbort y gallwch chi sefydlu anfon rhif ffôn. Mewn gwirionedd, nid yw hyn yn wir, a chadarnhawyd hyn gan Roskomnadzor mewn ymateb i apêl Alexey.
Roedd y rhwydwaith cymdeithasol, yn groes i'r Cytundeb Defnyddiwr, yn cyfyngu'n afresymol ar fynediad Alexey i'r defnydd o'i dudalen. Mae hwn yn wrthodiad unochrog i gyflawni rhwymedigaethau, sy'n groes i baragraff 1 Celf. 30 Cod Sifil Ffederasiwn Rwsia. Trwy ei amddifadu o fynediad i'w gyfrif, roedd VK hefyd wedi amddifadu Alexey o'r hawliau i weinyddu ei dudalen gyhoeddus, sy'n ased anniriaethol pwysig iddo. (Ysgrifennon ni am y farchnad gyhoeddus fel math newydd o eiddo digidol a'r hynodion o ddod â thrafodion i ben gyda nhw )
Tyllau diogelwch yn y system adnabod MTS
Mae'r ohebiaeth a gynhaliwyd gan y sgamwyr ar ran yr entrepreneur yn dangos eu bod yn gwybod am ei fusnes a'i daith fusnes. Fe wnaethon nhw ffonio canolfan gyswllt MTS, roedden nhw'n gallu nodi eu hunain ar ran Alexey a sefydlu anfon galwadau ymlaen. Gallai ymosodwyr gael ei ddata pasbort trwy beirianneg gymdeithasol. Alexey Mironov yw sylfaenydd y fasnachfraint, felly gallai cymaint o bobl sy'n ymwneud ag agor sefydliadau masnachfraint gael ei wybodaeth pasbort. Cynhaliodd MTS ymchwiliad mewnol, ond nid oedd yn gallu penderfynu pwy yn union osododd yr anfoniad ymlaen a sut y rhyng-gipiodd yr ymosodwr yr SMS. Ni chyfaddefodd y cwmni euogrwydd, ond ar yr un pryd cynigiodd iawndal rhyfedd iawn i Alexey - 750 rubles.
Roeddem o’r farn bod canfod tanysgrifiwr o bell yn unig gan ddefnyddio data personol cywir yn arfer amheus iawn ac fe wnaethom ysgrifennu cwyn at Roskomnadzor i wirio cydymffurfiaeth y math hwn o broses cwmni â gofynion y ddeddfwriaeth ar ddata personol. O ganlyniad, ochrodd Roskomnadzor â MTS, gan nodi bod rheoli gwasanaethau cyfathrebu ar ôl adnabod o bell dros y ffôn wrth ddarparu data personol cywir yn eithaf normal, ac mae sefydlu dulliau ychwanegol o amddiffyniad yn erbyn y math hwn o gamau diawdurdod yn gur pen i'r tanysgrifiwr ei hun, nid y cwmni . (darllenwch yr ateb llawn - )
Nid hacio cyfrif Alexey Mironov yw'r achos cyntaf o fynediad heb awdurdod i ddata tanysgrifiwr MTS. Yn 2018, y gronfa ddata o 500 mil o danysgrifwyr yn Novosibirsk dau ymosodwr, un ohonynt yn weithiwr cwmni. Fe wnaethon nhw geisio gwerthu'r gronfa ddata am bris o 1 Rwbl am ddata un tanysgrifiwr.
Yn 2016 roedd Cyfrifon Telegram am ymgyrchwyr yr wrthblaid Georgy Alburov ac Oleg Kozlovsky. Roedd eu cyfrifon yn gysylltiedig â rhifau MTS, ac yn fuan cyn yr hacio, roedd eu gwasanaeth SMS wedi'i analluogi a galluogwyd anfon ymlaen. Ni sefydlwyd ychwaith amgylchiadau'r toriad i mewn. Yn 2019, fe wnaeth Oleg Kozlovsky ffeilio achos cyfreithiol yn erbyn MTS, ond gwrthododd y llys hynny.
Cyfrifoldeb y defnyddiwr ei hun yw diogelu cyfrifon amrywiol wasanaethau gwe a chymwysiadau rhag hacio. Rhennir y sefyllfa hon gan weithredwyr telathrebu a'r rheolydd ei hun, ac yn unol â hynny maent yn gwrthod rhannu'r risgiau hyn gyda'u tanysgrifwyr eu hunain.
Mae RKN yn ei ddisgrifio fel hyn yn ei ymateb:
“... Yn ôl cymal 2.11 o Amodau MTS, at ddibenion adnabod, mae tanysgrifwyr o'r gweithredwr telathrebu yn cael y cyfle i ddefnyddio Côd Word - dilyniant o symbolau (llythrennau, rhifau) a bennir gan y Tanysgrifiwr yn y ffurf a sefydlwyd gan y Gweithredwr, sy'n gwasanaethu i adnabod y Tanysgrifiwr wrth weithredu'r Cytundeb. Mae gan y tanysgrifiwr gyfle i osod gair cod wrth ddod i gytundeb (yn yr achos hwn mae'n cael ei gofnodi yn y ffurflen gytundeb ynghyd â'r manylion gorfodol) ac ar unrhyw adeg yn ystod gweithredu'r cytundeb. Er gwaethaf hyn, mae'r tanysgrifiwr Mironov A.K. ni osodwyd y gair cod cyn y cysylltiad dadleuol â'r gwasanaeth. O dan amgylchiadau o'r fath, dim ond y tanysgrifiwr, trwy sefydlu gair cod wrth adnabod y gweithredwr telathrebu, a allai niwtraleiddio'r risg o ganlyniadau andwyol o sefyllfaoedd o'r fath, ond ni fanteisiodd ar y cyfle hwn. ”
Adfer cyfrif. Cenhadaeth yn amhosibl
Mae cwyn am ddiffyg gweithredu Roskomnadzor eisoes wedi'i ffeilio gyda swyddfa'r erlynydd. Yn y cyfamser, mae'r heddlu yn parhau i fod yn dawel ar yr adroddiad trosedd. Does neb yn adrodd dim byd o fewn y cwmni am ganlyniadau'r ymchwiliad chwaith. Nid yw MTS yn cyfaddef unrhyw euogrwydd. Does neb yn malio. Ar yr un pryd, mae VKontakte yn parhau i wrthod perchennog y cyfrif i adfer mynediad iddo nes iddo ddod â Phenderfyniad gan yr heddlu i gychwyn achos troseddol yn sefydlu'r ffeithiau penodedig a llythyr gan MTS, a fydd yn cadarnhau bod y gwasanaeth ailgyfeirio yn un y gellir ei herio. Yn y llythyr gydag esboniadau eithaf helaeth, mae gofyniad hefyd bod yn rhaid i Mironov hefyd ddarparu tystysgrif gan MTS mai ef yw unig ddefnyddiwr y rhif ffôn a oedd yn gysylltiedig ag ef (a beth, rhywle y mae gweithredwyr yn cofrestru perchnogaeth ar y cyd o rifau ffôn?) y dudalen. Cyrhaeddodd yr ymateb ddiwedd yr wythnos ddiwethaf, ac o ystyried y sefyllfa ddiderfyn yn y sefyllfa a'r amhosibl o ddod i gytundeb gyda VKontakte ers chwe mis bellach, aethom i'r llys.
Sut i amddiffyn eich hun rhag hacio
Gall ymosodwyr hefyd gael mynediad at reoli rhif ffôn trwy wendidau eraill - y protocol SS7 neu gael cerdyn SIM dyblyg gyda chymorth gweithwyr gweithredwr diegwyddor.
Mae SS7 yn brotocol technegol a ddefnyddir gan weithredwyr telathrebu. Mae'n cynnwys hen ac yn ôl pob golwg na ellir ei symud , sy'n eich galluogi i ryng-gipio data a drosglwyddir gan danysgrifwyr yn ystod galwad neu drwy SMS. Dim ond gweithredwyr sydd â mynediad i SS7, ond gall ymosodwyr ei gael trwy brynu mynediad ar y darknet gan weithredwyr mewn gwledydd annatblygedig neu drwy weithwyr diegwyddor gweithredwyr ffonau symudol. Mae ymosodiad yn digwydd pan fydd ymosodwr yn newid cyfeiriad system filio'r tanysgrifiwr i'w gyfeiriad ei hun. Yn fwyaf aml, mae ymosodwyr yn hysbysu'r system bod y tanysgrifiwr mewn crwydro rhyngwladol, felly y ffordd hawsaf i amddiffyn eich hun yw analluogi crwydro rhyngwladol os na fyddwch chi'n ei ddefnyddio.
Nid oedd gan Alexey Mironov system ddilysu dau ffactor eto wedi'i ffurfweddu ar gyfer Vkontakte. Mae'r swyddogaeth hon yn VK ym mis Mehefin 2014. Efallai y gallai hi amddiffyn ei gyfrif rhag cael ei hacio. Mae'n werth cofio nad yw cysylltu cyfrif â rhif ffôn yn ddilysiad dau ffactor. — dyma amddiffyniad mewngofnodi i gyfrif pan fydd gweithred arall yn cael ei chyflawni, yn ogystal â'r cyfrinair. Yr opsiwn mwyaf cyffredin yw cod SMS. Nid y dull hwn yw'r mwyaf dibynadwy, oherwydd gall ymosodwyr ryng-gipio'r neges SMS. Mae opsiynau mwy diogel yn ffeil allweddol, codau dros dro, cymhwysiad symudol a thocyn caledwedd.
Yn anffodus, rydym yn cael ein gorfodi i fyw mewn oes lle mae sicrhau diogelwch data yn dod yn broblem i ni ein hunain. Maen nhw'n gobeithio y bydd gweithredwyr yn ysgwyddo'r cyfrifoldeb yn annibynnol os bydd darnia, ond mae'n debyg nad yw hyn yn wir. Yn ogystal â dibynnu ar Roskomnadzor, sydd wedi bod yn hir ysgaru oddi wrth realiti yn ei arferion diogelu data. Mae’n anhygoel o anodd torri trwy arfwisg “deunydd gwrthod” yr heddwas lleol a fydd yn derbyn eich cais mewn achos tebyg, yn enwedig ar gyfer person cyffredin nad yw’n gwybod sut mae’r system hon yn gweithio. Beth sydd ar ôl? Peidiwch ag anghofio am hylendid digidol, ymddiried mewn mathemateg ac amddiffyn eich hawliau yn y llys.
Ffynhonnell: hab.com