Fraŭdistoj ŝtelis la paĝon VKontakte de entreprenisto Alexey Mironov pro vundebleco en la sistemo de identigo de klientoj de MTS. La socia reto neniam redonis ĝin al sia posedanto kaj postulas de li la neeblaĵon. Nun li demandas kontraŭ VKontakte pro tio. Li estas reprezentita fare de la Centro por Ciferecaj Rajtoj.
Alexey Mironov estas la fondinto de la Jeffrey's Coffee-ĉeno. Ĉi tio estas franĉizo de kafejoj en Moskvo kaj la regionoj. Alexey ofte komunikis kun kolegoj kaj partneroj en VKontakte kaj konservis tre popularan publikan paĝon por sia reto tie, nombrante pli ol 50 abonantojn.
En novembro 2018, frue matene, kiam Alexey estis en komerca vojaĝo en Ĉinio, lia paĝo VKontakte estis hakita. Li ricevis SMS de VKontakte, WhatsApp kaj mesaĝon de la MTS-funkciigisto, kiu diris, ke plusendado al alia numero estas starigita. Alexey ne aranĝis plusendon, do li tuj maltrankviliĝis kaj vokis MTS. Ili eĉ ne tuj determinis, ke ja ekzistas alidirektilo. La funkciigisto povis malŝalti ĝin nur du horojn post la voko de Alexey. MTS neniam trovis datumojn pri kiel kaj kiam la plusendado estis aktivigita.
Alexey kontrolis aliron al sociaj retoj kaj tujmesaĝiloj kaj vidis, ke li ne plu povas ensaluti al ili per sia telefonnumero. La piratoj ligis alian numeron al liaj kontoj. Kun WhatsApp la problemo estis solvita rapide. Tuj post nuligo de la plusendado, la mesaĝisto restarigis aliron al la konto al la legitima posedanto.
Alexey skribis al VKontakte-subteno petante resendi la paĝon kaj sendis foton de sia pasporto. Vespere li ricevis SMS, ke la aplikaĵo estas malakceptita, ĉar la nuna posedanto konfirmis la rajton de aliro.
Specialisto pri teknika subteno deklaris, ke Alexey povus libervole transdoni aliron al sia paĝo al triaj partioj, do ili ne restarigos lian aliron. Alexey klarigis la hakan situacion, sed li estis petita sendi konfirman leteron de MTS, en kiu la funkciigisto konfirmus, ke hako okazis. Alexey disponigis leteron de MTS. Post tio, la administrado de VKontakte postulis, ke ĉi tiu letero estu atestita de la polico. Ĉi tiu postulo estas tre malfacile plenumi ĉar ne estas la funkcio de la polico atesti leterojn kaj la akreditaĵojn de la subskribinto. Alexey povis bloki la hakitan paĝon nur persone demandante al dungitoj de VKontakte, ke li sciis pri ĝi. La paĝo ankoraŭ ne estis resendita. La sola afero, kiun Alexey atingis, estis bloki lian konton. Nun nek skamistoj nek li mem povas uzi ĝin.
VKontakte-subtena servo estas malsama rakonto. Nur rajtigitaj uzantoj povas kontakti la VKontakte-subtenan servon. Ĉi tio signifas, ke se vi perdas aliron al via paĝo, vi devas krei novan aŭ peti viajn amikojn doni aliron al iliaj paĝoj por skribi en subteno. Alexey korespondis kun specialistoj pri helpservo de la paĝo de sia edzino, kaj tio ne ĝenis ilin, kvankam la Uzanto-Interkonsento ne permesas transdoni la ensaluton kaj pasvorton al iu alia.
La hakado de la paĝo kaj plia perdo de aliro al la konto kaj publika paĝo evidente damaĝis kaj la komercan reputacion de Alexey kaj liajn posedaĵinteresojn. Sen mencii, ke tio permesis al signifa kvanto da personaj kaj komercaj informoj liki al nekonataj cellokoj. Fraŭdantoj de la konto de la komercisto petis siajn amikojn transdoni al ili grandajn monsumojn. Unu persono transdonis al ili 34 mil rublojn. La atakantoj havis aliron al personaj informoj de la konto de Alexey dum XNUMX horoj.
Proceso kontraŭ VKontakte
Aleksej Mironov faris proceson kontraŭ la socia reto VKontakte en la Smolninsky District Court de Sankt-Peterburgo kaj nun atendas asignon de la kazo. Li petas la tribunalon devigi la socian reton plenumi sian propran interkonsenton, konkludita en formo de Uzanto-Interkonsento, kaj redoni al li aliron al sia paĝo. Ĝis hodiaŭ, la administrado de VKontakte daŭre senigas Alexey de aliro al sia konto senracie, dum li konscience plenumis la kondiĉojn de la Uzanto-Interkonsento kaj tuj informis la teknikan subtenon de la socia reto pri la hako. VKontakte rifuzis restarigi sian aliron al la paĝo, citante klaŭzon en la Uzantinterkonsento, kiu malpermesas al uzantoj transdoni sian paĝan ensaluton kaj pasvorton al triaj partioj. La subtena agento de VKontakte, kun kiu Alexey parolis, deklaris, ke vi povas agordi telefonnumeron plusendante nur vizitante la oficejon de la funkciigisto kaj prezentante vian pasporton. Fakte, ĉi tio ne estas la kazo, kaj tio estis konfirmita de Roskomnadzor en respondo al la apelacio de Alexey.
La socia reto, malobservante la Uzanto-Interkonsenton, senracie limigis la aliron de Alexey al la uzo de sia paĝo. Ĉi tio estas unuflanka rifuzo plenumi devojn, malobservante paragrafon 1 de Arto. 30 Civila Kodo de Rusa Federacio. Senigante lin je aliro al lia konto, VK ankaŭ senigis Alexey de la rajtoj administri sian publikan paĝon, kiu estas grava nemateria valoraĵo por li. (Ni skribis pri la publika merkato kiel nova formo de cifereca proprieto kaj la proprecoj de fini transakciojn kun ili )
Sekurectruoj en la MTS-identigsistemo
La korespondado farita de la skamantoj nome de la entreprenisto montras, ke ili sciis pri lia komerca kaj komerca vojaĝo. Ili telefonis al la kontaktcentro de MTS, povis identigi sin nome de Alexey kaj starigi alvokon. Atakantoj povis akiri liajn pasportdatenojn per socia inĝenierado. Alexey Mironov estas la fondinto de la franĉizo, tiel ke multaj homoj implikitaj en malfermado de franĉizaj establaĵoj povus havi siajn pasportinformojn. MTS faris internan enketon, sed ne povis determini kiu precize instalis la plusendon kaj kiel la atakanto kaptis la SMS. La kompanio ne konfesis kulpon, sed samtempe proponis al Alexey tre strangan kompenson - 750 rubloj.
Ni konsideris, ke identigi abonanton malproksime nur uzante ĝustajn personajn datumojn estas tre dubinda praktiko kaj skribis plendon al Roskomnadzor por kontroli la konformecon de ĉi tiu speco de kompania procezo kun la postuloj de la leĝaro pri personaj datumoj. Kiel rezulto, Roskomnadzor apogis MTS, substrekante, ke administri komunikajn servojn post fora identigo per telefono dum liverado de ĝustaj personaj datumoj estas tute normala, kaj establi pliajn metodojn de protekto kontraŭ ĉi tiu speco de neaŭtorizitaj agoj estas kapdoloro por la abonanto mem, ne. la firmao . (legu plenan respondon - )
La hakado de la konto de Alexey Mironov ne estas la unua kazo de neaŭtorizita aliro al datumoj de abonantoj de MTS. En 2018, la datumbazo de 500 mil abonantoj en Novosibirsk du atakantoj, el kiuj unu estis dungito de la kompanio. Ili provis vendi la datumbazon je prezo de 1 rublo por la datumoj de unu abonanto.
En 2016 estis Telegramkontoj de opoziciaj aktivuloj Georgy Alburov kaj Oleg Kozlovsky. Iliaj kontoj estis ligitaj al MTS-numeroj, kaj baldaŭ antaŭ la hako, ilia SMS-servo estis malŝaltita kaj plusendado estis ebligita. La cirkonstancoj de la enrompo ankaŭ ne estis establitaj. En 2019, Oleg Kozlovsky prezentis proceson kontraŭ MTS, sed la tribunalo malakceptis ĝin.
Protekti kontojn de diversaj retservoj kaj aplikoj kontraŭ hakado estas la respondeco de la uzanto mem. Ĉi tiu pozicio estas dividita de kaj telekomunikaj telefonistoj kaj la reguligisto mem, laŭ kiu ili rifuzas dividi ĉi tiujn riskojn kun siaj propraj abonantoj.
RKN priskribas ĝin tiel en sia respondo:
"... Laŭ klaŭzo 2.11 de la MTS-Kondiĉoj, por identigaj celoj, abonantoj de la telekomunika operatoro ricevas la ŝancon uzi Kodvorton - sinsekvon de simboloj (literoj, nombroj) specifitaj de la Abonanto en la formo establita de la Operaciisto, kiu servas por identigi la Abonanton dum plenumado de la Interkonsento. La abonanto havas la ŝancon agordi kodvorton kaj dum la konkludo de interkonsento (en ĉi tiu kazo ĝi estas enigita en la interkonsentformularo kune kun la devigaj detaloj) kaj en ajna momento dum la plenumo de la interkonsento. Malgraŭ tio, abonanto Mironov A.K. la kodvorto ne estis fiksita antaŭ la pridisputata konekto de la servo. En tiaj cirkonstancoj, nur la abonanto, establante kodvorton dum identigo kun la teleentreprenisto, povis neŭtraligi la riskon de malfavoraj sekvoj de tiaj situacioj, sed ne profitis ĉi tiun ŝancon."
Reakiro de konto. Neplenumebla tasko
Plendo pri la neagado de Roskomnadzor jam estis prezentita ĉe la prokurorejo. Dume, la polico daŭre silentas pri la krimraporto. Ankaŭ neniu raportas ion ene de la kompanio pri la rezultoj de la esploro. MTS ne akceptas ajnan kulpon. Neniu zorgas. Samtempe, VKontakte daŭre rifuzas al la posedanto de la konto restarigi aliron al ĝi ĝis li alportas de la polico Rezolucion por komenci kriman kazon establante la specifitajn faktojn kaj leteron de MTS, kiu konfirmos, ke la alidirekta servo estas kontestata. En la letero kun sufiĉe ampleksaj klarigoj estas ankaŭ postulo, ke Mironov ankaŭ devas provizi atestilon de MTS, ke li estas la sola (kaj kio, ie telefonistoj registras komunan posedon de telefonnumeroj?) uzanto de la telefonnumero al kiu estis ligita. la paĝo. La respondo alvenis fine de la pasinta semajno, kaj pro la blokiĝo en la situacio kaj la neeblo atingi interkonsenton kun VKontakte jam de ses monatoj, ni iris al tribunalo.
Kiel protekti vin kontraŭ hakado
Atakantoj ankaŭ povas akiri aliron al administrado de telefonnumero per aliaj vundeblecoj - la protokolo SS7 aŭ akiri duplikatan SIM-karton kun la helpo de senskrupulaj funkciigistaj dungitoj.
SS7 estas teknika protokolo uzata de teleentreprenistoj. Ĝi enhavas malnovan kaj ŝajne neforigeblan , kiu permesas vin kapti datumojn transdonitajn de abonantoj dum voko aŭ per SMS. Nur funkciigistoj havas aliron al SS7, sed atakantoj povas akiri ĝin aĉetante aliron sur la mallumreto de funkciigistoj en subevoluintaj landoj aŭ per senskrupulaj dungitoj de moveblaj telefonistoj. Atako okazas kiam atakanto ŝanĝas la faktursistemon de la abonanto al sia propra adreso. Plej ofte, atakantoj informas la sistemon, ke la abonanto estas en internacia vagado, do la plej facila maniero protekti vin estas malŝalti internacian vagadon se vi ne uzas ĝin.
Alexey Mironov ankoraŭ ne havis dufaktoran aŭtentikigsistemon agordita por Vkontakte. Ĉi tiu funkcio en VK en junio 2014. Eble ŝi povus protekti lian konton kontraŭ hakado. Indas memori, ke simple ligi konton al telefonnumero ne estas dufaktora aŭtentigo. — ĉi tio estas la protekto de ensaluto al konto kiam, krom la pasvorto, alia ago estas farita. La plej ofta opcio estas SMS-kodo. Ĉi tiu metodo ne estas la plej fidinda, ĉar atakantoj povas kapti la SMS-mesaĝon. Pli sekuraj opcioj estas ŝlosila dosiero, provizoraj kodoj, poŝtelefona aplikaĵo kaj aparatara ĵetono.
Bedaŭrinde, ni estas devigitaj vivi en epoko kie certigi datuman sekurecon fariĝas nia propra problemo. Ili esperas, ke funkciigistoj sendepende portos respondecon okaze de hako, sed ŝajne tio ne estas la kazo. Same kiel fidi je Roskomnadzor, kiu longe estis divorcita de realeco en siaj datumprotektaj praktikoj. Estas nekredeble malfacile trarompi la kirason de la "rifuza materialo" de la loka policisto, kiu ricevos vian kandidatiĝon en simila kazo, precipe por ordinara homo, kiu ne scias kiel ĉi tiu sistemo funkcias. Kio restas? Ne forgesu pri cifereca higieno, fidu matematikon kaj defendu viajn rajtojn en tribunalo.
fonto: www.habr.com