Svindlere stjal VKontakte-siden af iværksætteren Alexey Mironov på grund af en sårbarhed i MTS-kundeidentifikationssystemet. Det sociale netværk har aldrig returneret det til sin ejer og kræver det umulige af ham. Nu sagsøger han VKontakte for dette. Han er repræsenteret af Center for Digitale Rettigheder.
Alexey Mironov er grundlæggeren af Jeffrey's Coffee-kæden. Dette er en franchise af kaffebarer i Moskva og regionerne. Alexey kommunikerede ofte med kolleger og partnere på VKontakte og opretholdt en meget populær offentlig side for sit netværk der, der talte mere end 50 abonnenter.
I november 2018, tidligt om morgenen, da Alexey var på forretningsrejse i Kina, blev hans VKontakte-side hacket. Han modtog SMS fra VKontakte, WhatsApp og en besked fra MTS-operatøren, som sagde, at viderestilling til et andet nummer var sat op. Alexey satte ikke viderestilling op, så han blev straks bekymret og ringede til MTS. De besluttede ikke engang umiddelbart, at der faktisk var en omdirigering. Operatøren var i stand til at slukke den kun to timer efter Alexeys opkald. MTS fandt aldrig data om, hvordan og hvornår videresendelsen blev aktiveret.
Alexey tjekkede adgangen til sociale netværk og instant messengers og så, at han ikke længere kunne logge ind på dem ved hjælp af sit telefonnummer. Hackerne knyttede et andet nummer til hans konti. Med WhatsApp blev problemet løst hurtigt. Umiddelbart efter annullering af videresendelsen gav messengeren adgang til kontoen til den retmæssige ejer.
Alexey skrev til VKontakte support og bad om at returnere siden og sendte et billede af sit pas. Om aftenen fik han en sms om, at ansøgningen blev afvist, da den nuværende ejer bekræftede indsigtsretten.
En teknisk supportspecialist udtalte, at Alexey frivilligt kunne overføre adgang til sin side til tredjeparter, så de vil ikke genoprette hans adgang. Alexey forklarede hacking-situationen, men han blev bedt om at sende et bekræftelsesbrev fra MTS, hvori operatøren ville bekræfte, at der var sket et hack. Alexey leverede et brev fra MTS. Herefter krævede VKontakte-administrationen, at dette brev blev bekræftet af politiet. Dette krav er meget vanskeligt at opfylde, fordi det ikke er politiets opgave at attestere breve og underskriverens akkreditiver. Alexey var kun i stand til at blokere den hackede side ved personligt at spørge VKontakte-medarbejdere, at han vidste om det. Siden er ikke returneret endnu. Det eneste Alexey opnåede var at blokere hans konto. Nu kan hverken svindlere eller han selv bruge det.
VKontakte supporttjeneste er en anden historie. Kun autoriserede brugere kan kontakte VKontakte-supporttjenesten. Det betyder, at hvis du mister adgangen til din side, skal du oprette en ny eller bede dine venner om at give adgang til deres sider for at kunne skrive til støtte. Alexey korresponderede med supportservicespecialister fra sin kones side, og det generede dem ikke, selvom brugeraftalen ikke tillader overførsel af login og adgangskode til en anden.
Hackingen af siden og yderligere tab af adgang til kontoen og den offentlige side skadede naturligvis både Alexeys forretningsomdømme og hans ejendomsinteresser. For ikke at nævne, at dette tillod en betydelig mængde personlig og kommerciel information at lække til ukendte destinationer. Svindlere fra forretningsmandens konto bad sine venner om at overføre store summer til dem. En person overførte dem 34 tusind rubler. Angriberne havde adgang til personlige oplysninger fra Alexeys konto i XNUMX timer.
Retssag mod VKontakte
Alexey Mironov anlagde en retssag mod det sociale netværk VKontakte ved Smolninsky District Court of St. Petersburg og afventer nu overdragelse af sagen. Han beder retten om at forpligte det sociale netværk til at opfylde sin egen aftale, indgået i form af en brugeraftale, og give ham adgang til hans side. Til denne dag fortsætter VKontakte-administrationen med at fratage Alexey adgang til sin konto urimeligt, mens han samvittighedsfuldt overholdt vilkårene i brugeraftalen og straks informerede det sociale netværks tekniske supporttjeneste om hacket. VKontakte nægtede at genoprette hans adgang til siden med henvisning til en klausul i brugeraftalen, der forbyder brugere at overføre deres sidelogin og adgangskode til tredjeparter. VKontakte-supportagenten, som Alexey talte med, udtalte, at du kun kan konfigurere videresendelse af telefonnummer ved at besøge operatørens kontor og fremvise dit pas. Faktisk er dette ikke tilfældet, og dette blev bekræftet af Roskomnadzor som svar på Alexeys appel.
Det sociale netværk, i strid med brugeraftalen, begrænsede urimeligt Alexeys adgang til brugen af hans side. Dette er en ensidig afvisning af at opfylde forpligtelser, der overtræder stk. 1 i art. 30 Civil Code of Den Russiske Føderation. Ved at fratage ham adgang til sin konto fratog VK også Alexey rettighederne til at administrere sin offentlige side, hvilket er et vigtigt immaterielt aktiv for ham. (Vi skrev om det offentlige marked som en ny form for digital ejendom og det særlige ved at indgå transaktioner med dem )
Sikkerhedshuller i MTS-identifikationssystemet
Korrespondancen fra svindlerne på vegne af iværksætteren viser, at de kendte til hans forretnings- og forretningsrejse. De ringede til MTS kontaktcenter, var i stand til at identificere sig selv på vegne af Alexey og oprettede viderestilling af opkald. Angribere kunne få hans pasdata gennem social engineering. Alexey Mironov er grundlæggeren af franchisen, så mange mennesker involveret i at åbne franchise-virksomheder kunne have hans pasoplysninger. MTS gennemførte en intern undersøgelse, men var ikke i stand til at fastslå, hvem der præcist installerede videresendelsen, og hvordan angriberen opsnappede SMS'en. Virksomheden indrømmede ikke skyld, men tilbød samtidig Alexey en meget mærkelig kompensation - 750 rubler.
Vi mente, at det er en meget tvivlsom praksis at identificere en abonnent eksternt ved kun at bruge korrekte personoplysninger, og vi skrev en klage til Roskomnadzor for at verificere, at denne form for virksomhedsproces overholder kravene i lovgivningen om personoplysninger. Som et resultat tog Roskomnadzor side med MTS og påpegede, at det er ganske normalt at administrere kommunikationstjenester efter fjernidentifikation via telefon, mens der gives korrekte personlige data, og at etablere yderligere metoder til beskyttelse mod denne form for uautoriserede handlinger er en hovedpine for abonnenten selv, ikke virksomheden . (læs hele svaret - )
Hackingen af Alexey Mironovs konto er ikke det første tilfælde af uautoriseret adgang til MTS-abonnentdata. I 2018, databasen med 500 tusinde abonnenter i Novosibirsk to angribere, hvoraf den ene var ansat i virksomheden. De forsøgte at sælge databasen til en pris på 1 rubel for data fra en abonnent.
I 2016 var der Telegramberetninger om oppositionsaktivister Georgy Alburov og Oleg Kozlovsky. Deres konti var knyttet til MTS-numre, og kort før hacket blev deres SMS-tjeneste deaktiveret, og videresendelse blev aktiveret. Omstændighederne ved indbruddet var heller ikke klarlagt. I 2019 anlagde Oleg Kozlovsky en retssag mod MTS, men retten afviste den.
Beskyttelse af konti til forskellige webtjenester og applikationer mod hacking er brugerens eget ansvar. Denne holdning deles af både teleoperatører og regulatoren selv, ifølge hvilken de nægter at dele disse risici med deres egne abonnenter.
RKN beskriver det på denne måde i sit svar:
“... I henhold til paragraf 2.11 i MTS-betingelserne får abonnenter fra teleoperatøren til identifikationsformål mulighed for at bruge et kodeord - en sekvens af symboler (bogstaver, tal) specificeret af abonnenten i den form, der er fastsat af operatøren, som tjener til at identificere Abonnenten ved udførelsen af Aftalen. Abonnenten har mulighed for at sætte et kodeord både ved indgåelse af en aftale (i dette tilfælde indtastes det i aftaleformularen sammen med de obligatoriske detaljer) og til enhver tid under aftalens udførelse. På trods af dette har abonnenten Mironov A.K. kodeordet blev ikke indstillet før den omtvistede tilslutning af tjenesten. Under sådanne omstændigheder var det kun abonnenten, der ved at etablere et kodeord under identifikation med teleoperatøren, kunne neutralisere risikoen for negative konsekvenser af sådanne situationer, men udnyttede ikke denne mulighed."
Kontogendannelse. Umulig mission
En klage over Roskomnadzors passivitet er allerede blevet indgivet til anklagemyndigheden. I mellemtiden forbliver politiet tavs om forbrydelsesrapporten. Ingen rapporterer heller noget internt i virksomheden om resultaterne af undersøgelsen. MTS erkender ikke nogen skyld. Alle er ligeglade. Samtidig fortsætter VKontakte med at nægte kontoejeren at genoprette adgangen til den, indtil han fra politiet bringer en beslutning om at indlede en straffesag, der fastslår de specificerede fakta, og et brev fra MTS, som vil bekræfte, at omdirigeringstjenesten er anfægtelig. I brevet med ret omfattende forklaringer er der også et krav om, at Mironov også skal fremlægge en attest fra MTS om, at han er den eneste (og hvad, et eller andet sted operatører registrerer fælles ejerskab af telefonnumre?) af det telefonnummer, der var knyttet til. siden. Svaret kom i slutningen af sidste uge, og i betragtning af dødvandet i situationen og umuligheden af at nå til enighed med VKontakte i seks måneder nu, gik vi rettens vej.
Sådan beskytter du dig selv mod hacking
Angribere kan også få adgang til at administrere et telefonnummer gennem andre sårbarheder - SS7-protokollen eller få et dublet SIM-kort med hjælp fra skruppelløse operatørmedarbejdere.
SS7 er en teknisk protokol, der bruges af teleoperatører. Den indeholder en gammel og tilsyneladende ikke-aftagelig , som giver dig mulighed for at opsnappe data transmitteret af abonnenter under et opkald eller via SMS. Kun operatører har adgang til SS7, men angribere kan få det ved at købe adgang på darknet fra operatører i underudviklede lande eller gennem skruppelløse ansatte hos mobiloperatører. Et angreb opstår, når en hacker ændrer abonnentens faktureringssystemadresse til sin egen adresse. Oftest informerer angribere systemet om, at abonnenten er i international roaming, så den nemmeste måde at beskytte dig selv på er at deaktivere international roaming, hvis du ikke bruger det.
Alexey Mironov havde endnu ikke et to-faktor autentificeringssystem konfigureret til Vkontakte. Denne funktion i VK i juni 2014. Måske kunne hun beskytte hans konto mod at blive hacket. Det er værd at huske på, at blot at linke en konto til et telefonnummer ikke er to-faktor-godkendelse. — dette er beskyttelsen af login på en konto, når der ud over adgangskoden udføres en anden handling. Den mest almindelige mulighed er en SMS-kode. Denne metode er ikke den mest pålidelige, da angribere kan opsnappe SMS-beskeden. Mere sikre muligheder er en nøglefil, midlertidige koder, en mobilapplikation og et hardwaretoken.
Desværre er vi tvunget til at leve i en æra, hvor sikring af datasikkerhed bliver vores eget problem. De håber, at operatører selvstændigt vil bære ansvaret i tilfælde af et hack, men det er tilsyneladende ikke tilfældet. Samt stole på Roskomnadzor, som længe har været skilt fra virkeligheden i sin databeskyttelsespraksis. Det er utroligt svært at bryde igennem pansringen af "afslagsmaterialet" fra den lokale politibetjent, der vil modtage din ansøgning i en lignende sag, især for en almindelig person, der ikke ved, hvordan dette system fungerer. Hvad er tilbage? Glem ikke digital hygiejne, stol på matematik og forsvar dine rettigheder i retten.
Kilde: www.habr.com