Betrüger haben die VKontakte-Seite des Unternehmers Alexey Mironov aufgrund einer Schwachstelle im MTS-Kundenidentifikationssystem gestohlen. Das soziale Netzwerk hat es seinem Besitzer nie zurückgegeben und verlangt von ihm das Unmögliche. Nun verklagt er VKontakte dafür. Er wird vom Center for Digital Rights vertreten.
Alexey Mironov ist der Gründer der Jeffrey's Coffee-Kette. Dies ist ein Franchise-Café in Moskau und den Regionen. Alexey kommunizierte häufig mit Kollegen und Partnern über VKontakte und unterhielt dort eine sehr beliebte öffentliche Seite seines Netzwerks mit mehr als 50 Abonnenten.
Im November 2018, am frühen Morgen, als Alexey auf Geschäftsreise in China war, wurde seine VKontakte-Seite gehackt. Er erhielt SMS von VKontakte, WhatsApp und eine Nachricht vom MTS-Betreiber, dass eine Weiterleitung an eine andere Nummer eingerichtet sei. Alexey hatte keine Weiterleitung eingerichtet, also machte er sich sofort Sorgen und rief MTS an. Sie stellten nicht einmal sofort fest, dass es sich tatsächlich um eine Weiterleitung handelte. Der Telefonist konnte es bereits zwei Stunden nach Alexeys Anruf abschalten. MTS hat nie Daten darüber gefunden, wie und wann die Weiterleitung aktiviert wurde.
Alexey überprüfte den Zugang zu sozialen Netzwerken und Instant Messengern und stellte fest, dass er sich dort nicht mehr mit seiner Telefonnummer anmelden konnte. Die Hacker verknüpften eine andere Nummer mit seinen Konten. Mit WhatsApp wurde das Problem schnell behoben. Unmittelbar nach dem Widerruf der Weiterleitung gab der Messenger dem rechtmäßigen Eigentümer den Zugriff auf das Konto zurück.
Alexey schrieb an den VKontakte-Support mit der Bitte um Rückgabe der Seite und schickte ein Foto seines Reisepasses. Am Abend erhielt er eine SMS, dass der Antrag abgelehnt wurde, da der jetzige Eigentümer die Zutrittsberechtigung bestätigt habe.
Ein Spezialist des technischen Supports gab an, dass Alexey den Zugriff auf seine Seite freiwillig an Dritte übertragen könnte, sodass diese seinen Zugriff nicht wiederherstellen würden. Alexey erklärte die Hacking-Situation, wurde jedoch gebeten, ein Bestätigungsschreiben von MTS zu senden, in dem der Betreiber bestätigen würde, dass ein Hackerangriff stattgefunden hatte. Alexey legte einen Brief von MTS vor. Danach verlangte die VKontakte-Administration, dass dieser Brief von der Polizei beglaubigt werde. Diese Anforderung ist sehr schwer zu erfüllen, da es nicht die Aufgabe der Polizei ist, Briefe und die Berechtigung des Unterzeichners zu beglaubigen. Alexey konnte die gehackte Seite nur blockieren, indem er die VKontakte-Mitarbeiter persönlich fragte, ob er davon wisse. Die Seite wurde noch nicht zurückgegeben. Das Einzige, was Alexey erreichte, war die Sperrung seines Kontos. Jetzt können es weder Betrüger noch er selbst nutzen.
Der VKontakte-Supportdienst ist eine andere Geschichte. Nur autorisierte Benutzer können den VKontakte-Supportdienst kontaktieren. Das heißt, wenn Sie den Zugriff auf Ihre Seite verlieren, müssen Sie eine neue erstellen oder Ihre Freunde bitten, Zugriff auf ihre Seiten zu gewähren, um unterstützend zu schreiben. Alexey korrespondierte über die Seite seiner Frau mit den Support-Service-Spezialisten, was sie jedoch nicht störte, obwohl die Benutzervereinbarung die Übertragung des Benutzernamens und des Passworts an eine andere Person nicht zulässt.
Der Hackerangriff auf die Seite und der weitere Verlust des Zugriffs auf das Konto und die öffentliche Seite haben offensichtlich sowohl Alexeys geschäftlichem Ruf als auch seinen Eigentumsinteressen geschadet. Ganz zu schweigen davon, dass dadurch eine erhebliche Menge persönlicher und kommerzieller Informationen an unbekannte Ziele gelangen konnte. Betrüger forderten vom Konto des Geschäftsmanns seine Freunde auf, ihnen große Geldbeträge zu überweisen. Eine Person überwies ihnen 34 Rubel. Die Angreifer hatten XNUMX Stunden lang Zugriff auf die persönlichen Daten von Alexeys Konto.
Klage gegen VKontakte
Alexey Mironov reichte beim Bezirksgericht Smolninsky in St. Petersburg eine Klage gegen das soziale Netzwerk VKontakte ein und wartet nun auf die Zuweisung des Falles. Er bittet das Gericht, das soziale Netzwerk zur Erfüllung seiner eigenen Vereinbarung, die in Form einer Nutzungsvereinbarung geschlossen wurde, zu verpflichten und ihm den Zugang zu seiner Seite zurückzugeben. Bis heute entzieht die VKontakte-Administration Alexey unangemessen den Zugriff auf sein Konto, während er sich gewissenhaft an die Bedingungen der Nutzungsvereinbarung hält und den technischen Support des sozialen Netzwerks unverzüglich über den Hack informiert. VKontakte weigerte sich, seinen Zugriff auf die Seite wiederherzustellen, und verwies auf eine Klausel in der Benutzervereinbarung, die es Benutzern verbietet, ihre Benutzernamen und Passwörter für die Seite an Dritte weiterzugeben. Der VKontakte-Supportmitarbeiter, mit dem Alexey gesprochen hat, gab an, dass Sie die Rufnummernweiterleitung nur einrichten können, indem Sie das Büro des Betreibers aufsuchen und Ihren Reisepass vorlegen. Tatsächlich ist dies nicht der Fall, und dies wurde von Roskomnadzor als Reaktion auf Alexeys Berufung bestätigt.
Das soziale Netzwerk hat unter Verstoß gegen die Nutzungsvereinbarung den Zugriff von Alexey auf die Nutzung seiner Seite unangemessen eingeschränkt. Dies ist eine einseitige Verweigerung der Erfüllung von Verpflichtungen, die gegen Artikel 1 Absatz 30 verstößt. XNUMX Bürgerliches Gesetzbuch der Russischen Föderation. Indem VK ihm den Zugang zu seinem Konto verweigerte, entzog er Alexey auch die Rechte zur Verwaltung seiner öffentlichen Seite, die für ihn ein wichtiger immaterieller Vermögenswert ist. (Wir haben über den öffentlichen Markt als eine neue Form des digitalen Eigentums und die Besonderheiten beim Abschluss von Transaktionen mit ihnen geschrieben )
Sicherheitslücken im MTS-Identifikationssystem
Die von den Betrügern im Auftrag des Unternehmers geführte Korrespondenz zeigt, dass sie von seinem Geschäft und seiner Geschäftsreise wussten. Sie riefen das MTS-Kontaktcenter an, konnten sich im Namen von Alexey ausweisen und eine Anrufweiterleitung einrichten. Angreifer könnten durch Social Engineering an seine Passdaten gelangen. Alexey Mironov ist der Gründer des Franchise-Unternehmens, daher könnten viele Personen, die an der Eröffnung von Franchise-Unternehmen beteiligt sind, über seine Passinformationen verfügen. MTS führte eine interne Untersuchung durch, konnte jedoch nicht feststellen, wer genau die Weiterleitung installiert hat und wie der Angreifer die SMS abgefangen hat. Das Unternehmen gab keine Schuld zu, bot Alexey aber gleichzeitig eine sehr seltsame Entschädigung an – 750 Rubel.
Wir hielten es für eine sehr zweifelhafte Praxis, einen Abonnenten aus der Ferne nur anhand korrekter personenbezogener Daten zu identifizieren, und haben eine Beschwerde an Roskomnadzor gerichtet, um die Übereinstimmung dieses Unternehmensprozesses mit den Anforderungen der Gesetzgebung zu personenbezogenen Daten zu überprüfen. Infolgedessen stellte sich Roskomnadzor auf die Seite von MTS und wies darauf hin, dass die Verwaltung von Kommunikationsdiensten nach einer Fernidentifizierung per Telefon unter Angabe korrekter personenbezogener Daten ganz normal sei und die Einrichtung zusätzlicher Methoden zum Schutz vor solchen unbefugten Aktionen für den Abonnenten selbst Kopfschmerzen bereite, nicht aber das Unternehmen. (vollständige Antwort lesen - )
Das Hacken des Kontos von Alexey Mironov ist nicht der erste Fall eines unbefugten Zugriffs auf MTS-Abonnentendaten. Im Jahr 2018 umfasste die Datenbank 500 Abonnenten in Nowosibirsk zwei Angreifer, einer davon ein Firmenangestellter. Sie versuchten, die Datenbank zu einem Preis von 1 Rubel für die Daten eines Abonnenten zu verkaufen.
2016 waren es Telegrammberichte der Oppositionsaktivisten Georgy Alburov und Oleg Kozlovsky. Ihre Konten waren mit MTS-Nummern verknüpft und kurz vor dem Hack wurde ihr SMS-Dienst deaktiviert und die Weiterleitung aktiviert. Auch die Umstände des Einbruchs konnten nicht geklärt werden. Im Jahr 2019 reichte Oleg Kozlovsky eine Klage gegen MTS ein, die das Gericht jedoch ablehnte.
Der Schutz der Konten verschiedener Webdienste und Anwendungen vor Hackerangriffen liegt in der Verantwortung des Benutzers selbst. Diese Position wird sowohl von Telekommunikationsbetreibern als auch von der Regulierungsbehörde selbst geteilt, wonach sie sich weigern, diese Risiken mit ihren eigenen Abonnenten zu teilen.
RKN beschreibt es in seiner Antwort so:
„... Gemäß Abschnitt 2.11 der MTS-Bedingungen wird Abonnenten des Telekommunikationsbetreibers zu Identifikationszwecken die Möglichkeit gegeben, ein Codewort zu verwenden – eine vom Abonnenten angegebene Folge von Symbolen (Buchstaben, Zahlen) in der von festgelegte Form der Betreiber, der zur Identifizierung des Abonnenten bei der Vertragsabwicklung dient. Der Abonnent hat die Möglichkeit, sowohl beim Vertragsabschluss (in diesem Fall wird es zusammen mit den Pflichtangaben in das Vertragsformular eingetragen) als auch jederzeit während der Vertragsabwicklung ein Codewort festzulegen. Trotzdem hat der Abonnent Mironov A.K. das Codewort wurde vor der umstrittenen Einbindung des Dienstes nicht gesetzt. Unter solchen Umständen konnte nur der Teilnehmer durch die Festlegung eines Codeworts bei der Identifizierung beim Telekommunikationsbetreiber das Risiko nachteiliger Folgen aus solchen Situationen neutralisieren, nutzte diese Gelegenheit jedoch nicht.“
Konto-Wiederherstellung. Unmögliche Mission
Eine Beschwerde über die Untätigkeit von Roskomnadzor wurde bereits bei der Staatsanwaltschaft eingereicht. Unterdessen schweigt die Polizei weiterhin zur Kriminalanzeige. Auch im Unternehmen meldet niemand etwas über die Ergebnisse der Untersuchung. MTS gibt keine Schuld zu. Niemanden interessierts. Gleichzeitig verweigert VKontakte dem Kontoinhaber weiterhin die Wiederherstellung des Zugriffs, bis er von der Polizei einen Beschluss zur Einleitung eines Strafverfahrens zur Feststellung des genannten Sachverhalts und ein Schreiben von MTS vorlegt, in dem bestätigt wird, dass der Weiterleitungsdienst anfechtbar ist. In dem Brief mit ziemlich ausführlichen Erläuterungen wird auch gefordert, dass Mironov auch eine Bescheinigung von MTS vorlegen muss, dass er der alleinige (und was, irgendwo registrieren Betreiber Miteigentum an Telefonnummern?) Benutzer der Telefonnummer ist, mit der verknüpft wurde die Seite. Die Antwort kam Ende letzter Woche, und angesichts der Pattsituation und der Unmöglichkeit, seit sechs Monaten eine Einigung mit VKontakte zu erzielen, gingen wir vor Gericht.
So schützen Sie sich vor Hackerangriffen
Angreifer können sich auch über andere Schwachstellen Zugriff auf die Verwaltung einer Telefonnummer verschaffen – das SS7-Protokoll oder die Beschaffung einer doppelten SIM-Karte mithilfe skrupelloser Betreibermitarbeiter.
SS7 ist ein technisches Protokoll, das von Telekommunikationsbetreibern verwendet wird. Es enthält ein altes und scheinbar nicht entfernbares , mit dem Sie von Teilnehmern während eines Anrufs oder per SMS übermittelte Daten abfangen können. Nur Betreiber haben Zugang zu SS7, Angreifer können sich diesen jedoch verschaffen, indem sie Zugang im Darknet von Betreibern in unterentwickelten Ländern oder über skrupellose Mitarbeiter von Mobilfunkbetreibern erwerben. Ein Angriff liegt vor, wenn ein Angreifer die Abrechnungssystemadresse des Abonnenten in seine eigene Adresse ändert. Am häufigsten informieren Angreifer das System darüber, dass sich der Teilnehmer im internationalen Roaming befindet. Der einfachste Weg, sich zu schützen, besteht daher darin, das internationale Roaming zu deaktivieren, wenn Sie es nicht nutzen.
Alexey Mironov hatte noch kein Zwei-Faktor-Authentifizierungssystem für Vkontakte konfiguriert. Diese Funktion in VK im Juni 2014. Vielleicht könnte sie sein Konto vor Hackerangriffen schützen. Es sei daran erinnert, dass die bloße Verknüpfung eines Kontos mit einer Telefonnummer keine Zwei-Faktor-Authentifizierung darstellt. — Dies ist der Schutz der Anmeldung bei einem Konto, wenn zusätzlich zum Passwort eine weitere Aktion ausgeführt wird. Die häufigste Option ist ein SMS-Code. Diese Methode ist nicht die zuverlässigste, da Angreifer die SMS-Nachricht abfangen können. Sicherere Optionen sind eine Schlüsseldatei, temporäre Codes, eine mobile Anwendung und ein Hardware-Token.
Leider sind wir gezwungen, in einer Zeit zu leben, in der die Gewährleistung der Datensicherheit zu unserem eigenen Problem wird. Sie hoffen, dass die Betreiber im Falle eines Hacks eigenständig die Verantwortung tragen, doch offenbar ist dies nicht der Fall. Und man verlässt sich auch auf Roskomnadzor, dessen Datenschutzpraktiken längst von der Realität abgekoppelt sind. Es ist unglaublich schwierig, den Panzer des „Ablehnungsmaterials“ des örtlichen Polizeibeamten zu durchbrechen, der in einem ähnlichen Fall Ihren Antrag entgegennimmt, insbesondere für einen normalen Menschen, der nicht weiß, wie dieses System funktioniert. Was bleibt? Vergessen Sie nicht die digitale Hygiene, vertrauen Sie der Mathematik und verteidigen Sie Ihre Rechte vor Gericht.
Source: habr.com