Los estafadores robaron la página VKontakte del empresario Alexey Mironov debido a una vulnerabilidad en el sistema de identificación de clientes de MTS. La red social nunca se lo ha devuelto a su dueño y le exige lo imposible. Ahora está demandando a VKontakte por esto. Está representado por el Centro de Derechos Digitales.
Alexey Mironov es el fundador de la cadena Jeffrey's Coffee. Se trata de una franquicia de cafeterías en Moscú y sus regiones. Alexey se comunicaba a menudo con colegas y socios en VKontakte y allí mantenía una página pública muy popular para su red, que contaba con más de 50 suscriptores.
En noviembre de 2018, temprano en la mañana, cuando Alexey estaba en un viaje de negocios en China, su página de VKontakte fue pirateada. Recibió SMS de VKontakte, WhatsApp y un mensaje del operador de MTS, que decía que se había configurado el reenvío a otro número. Alexey no configuró el reenvío, por lo que inmediatamente se preocupó y llamó a MTS. Ni siquiera determinaron de inmediato que efectivamente hubiera una redirección. El operador pudo apagarlo sólo dos horas después de la llamada de Alexey. MTS nunca encontró datos sobre cómo y cuándo se activó el reenvío.
Alexey comprobó el acceso a las redes sociales y a la mensajería instantánea y vio que ya no podía iniciar sesión con su número de teléfono. Los piratas informáticos vincularon otro número a sus cuentas. Con WhatsApp el problema se resolvió rápidamente. Inmediatamente después de cancelar el reenvío, el mensajero restableció el acceso a la cuenta al propietario legítimo.
Alexey escribió al soporte de VKontakte pidiendo devolver la página y envió una foto de su pasaporte. Por la tarde recibió un SMS informándole que la solicitud había sido rechazada, ya que el actual propietario había confirmado el derecho de acceso.
Un especialista de soporte técnico afirmó que Alexey podría transferir voluntariamente el acceso a su página a terceros, por lo que no le restablecerán el acceso. Alexey explicó la situación del hackeo, pero le pidieron que enviara una carta de confirmación de MTS, en la que el operador confirmaría que se había producido un hackeo. Alexey entregó una carta de MTS. Después de esto, la administración de VKontakte exigió que esta carta fuera certificada por la policía. Este requisito es muy difícil de cumplir porque no es función de la policía certificar las cartas y las credenciales del firmante. Alexey pudo bloquear la página pirateada solo preguntando personalmente a los empleados de VKontakte si sabía sobre ella. La página aún no ha sido devuelta. Lo único que logró Alexey fue bloquear su cuenta. Ahora ni los estafadores ni él mismo pueden utilizarlo.
El servicio de soporte de VKontakte es una historia diferente. Solo los usuarios autorizados pueden comunicarse con el servicio de soporte de VKontakte. Esto significa que si pierdes el acceso a tu página, debes crear una nueva o pedirles a tus amigos que te den acceso a sus páginas para poder escribir en apoyo. Alexey mantuvo correspondencia con los especialistas del servicio de soporte de la página de su esposa, y esto no les molestó, aunque el Acuerdo de Usuario no permite transferir el nombre de usuario y la contraseña a otra persona.
El pirateo de la página y la pérdida adicional de acceso a la cuenta y a la página pública obviamente dañaron tanto la reputación comercial de Alexey como sus intereses inmobiliarios. Sin mencionar que esto permitió que una cantidad importante de información personal y comercial se filtrara a destinos desconocidos. Los estafadores de la cuenta del empresario pidieron a sus amigos que les transfirieran grandes sumas de dinero. Una persona les transfirió 34 mil rublos. Los atacantes tuvieron acceso a información personal de la cuenta de Alexey durante XNUMX horas.
Demanda contra VKontakte
Alexey Mironov presentó una demanda contra la red social VKontakte ante el Tribunal de Distrito de Smolninsky de San Petersburgo y ahora está a la espera de la asignación del caso. Pide al tribunal que obligue a la red social a cumplir con su propio acuerdo, celebrado en forma de Acuerdo de usuario, y devolverle el acceso a su página. Hasta el día de hoy, la administración de VKontakte continúa privando a Alexey del acceso a su cuenta de manera irrazonable, mientras él cumplió concienzudamente los términos del Acuerdo de Usuario e inmediatamente informó al servicio de soporte técnico de la red social sobre el hack. VKontakte se negó a restablecer su acceso a la página, citando una cláusula en el Acuerdo de Usuario que prohíbe a los usuarios transferir el nombre de usuario y la contraseña de su página a terceros. El agente de soporte de VKontakte con el que habló Alexey dijo que es posible configurar el reenvío de números de teléfono visitando la oficina del operador y presentando su pasaporte. De hecho, este no es el caso, y así lo confirmó Roskomnadzor en respuesta al llamamiento de Alexey.
La red social, en violación del Acuerdo de Usuario, limitó injustificadamente el acceso de Alexey al uso de su página. Se trata de una negativa unilateral a cumplir obligaciones, en violación del apartado 1 del art. 30 Código Civil de la Federación de Rusia. Al privarlo del acceso a su cuenta, VK también privó a Alexey del derecho a administrar su página pública, que es un activo intangible importante para él. (Escribimos sobre el mercado público como una nueva forma de propiedad digital y las peculiaridades de realizar transacciones con ellos. )
Agujeros de seguridad en el sistema de identificación MTS
La correspondencia mantenida por los estafadores en nombre del empresario demuestra que conocían sus negocios y su viaje de negocios. Llamaron al centro de contacto de MTS, pudieron identificarse en nombre de Alexey y configurar el desvío de llamadas. Los atacantes podrían obtener los datos de su pasaporte mediante ingeniería social. Alexey Mironov es el fundador de la franquicia, por lo que muchas personas involucradas en la apertura de establecimientos de franquicia podrían tener la información de su pasaporte. MTS llevó a cabo una investigación interna, pero no pudo determinar quién instaló exactamente el reenvío y cómo el atacante interceptó el SMS. La empresa no se admitió culpable, pero al mismo tiempo le ofreció a Alexey una compensación muy extraña: 750 rublos.
Consideramos que identificar a un suscriptor de forma remota utilizando únicamente datos personales correctos es una práctica muy dudosa y escribimos una queja a Roskomnadzor para verificar el cumplimiento de este tipo de proceso empresarial con los requisitos de la legislación sobre datos personales. Como resultado, Roskomnadzor se puso del lado de MTS, señalando que gestionar los servicios de comunicación después de la identificación remota por teléfono mientras se proporcionan datos personales correctos es bastante normal, y establecer métodos adicionales de protección contra este tipo de acciones no autorizadas es un dolor de cabeza para el propio suscriptor, no la empresa. (leer la respuesta completa - )
El hackeo de la cuenta de Alexey Mironov no es el primer caso de acceso no autorizado a los datos de suscriptores de MTS. En 2018, la base de datos de 500 mil suscriptores. En Novosibirsk dos atacantes, uno de los cuales era un empleado de la empresa. Intentaron vender la base de datos al precio de 1 rublo por los datos de un suscriptor.
En 2016 hubo Cuentas de Telegram de los activistas de la oposición Georgy Alburov y Oleg Kozlovsky. Sus cuentas estaban vinculadas a números de MTS y, poco antes del hackeo, su servicio de SMS se deshabilitó y se activó el reenvío. Tampoco se establecieron las circunstancias del robo. En 2019, Oleg Kozlovsky presentó una demanda contra MTS, pero el tribunal la rechazó.
Proteger las cuentas de diversos servicios y aplicaciones web contra la piratería es responsabilidad del propio usuario. Esta posición la comparten tanto los operadores de telecomunicaciones como el propio regulador, según el cual se niegan a compartir estos riesgos con sus propios suscriptores.
RKN lo describe así en su respuesta:
“... De acuerdo con la cláusula 2.11 de las Condiciones de MTS, para fines de identificación, los suscriptores del operador de telecomunicaciones tienen la oportunidad de utilizar una palabra de código: una secuencia de símbolos (letras, números) especificada por el suscriptor en la forma establecida por el Operador, que sirve para identificar al Suscriptor al ejecutar el Acuerdo. El suscriptor tiene la oportunidad de establecer una palabra clave tanto al celebrar un acuerdo (en este caso se ingresa en el formulario del acuerdo junto con los detalles obligatorios) como en cualquier momento durante la ejecución del acuerdo. A pesar de esto, el suscriptor Mironov A.K. la palabra clave no se estableció antes de la conexión en disputa del servicio. En tales circunstancias, sólo el abonado, estableciendo una palabra clave durante la identificación con el operador de telecomunicaciones, podía neutralizar el riesgo de consecuencias adversas de tales situaciones, pero no aprovechó esta oportunidad”.
Recuperación de Cuenta. Misión imposible
Ya se ha presentado ante la fiscalía una denuncia por la inacción de Roskomnadzor. Mientras tanto, la policía sigue guardando silencio sobre el informe del crimen. Tampoco dentro de la empresa nadie informa nada sobre los resultados de la investigación. MTS no admite ninguna culpa. A nadie le importa. Al mismo tiempo, VKontakte continúa negándose al propietario de la cuenta a restablecer el acceso a ella hasta que presente de la policía una Resolución para iniciar un caso penal que establezca los hechos especificados y una carta de MTS, que confirmará que el servicio de redireccionamiento es cuestionable. En la carta con explicaciones bastante extensas, también se exige que Mironov también proporcione un certificado de MTS de que él es el único (¿y qué, en algún lugar los operadores registran la propiedad conjunta de los números de teléfono?) usuario del número de teléfono que estaba vinculado a la página. La respuesta llegó a finales de la semana pasada y, ante el estancamiento de la situación y la imposibilidad de llegar a un acuerdo con VKontakte desde hace seis meses, acudimos a los tribunales.
Cómo protegerse del hackeo
Los atacantes también pueden acceder a la gestión de un número de teléfono a través de otras vulnerabilidades: el protocolo SS7 o la obtención de un duplicado de la tarjeta SIM con la ayuda de empleados del operador sin escrúpulos.
SS7 es un protocolo técnico utilizado por los operadores de telecomunicaciones. Contiene un viejo y aparentemente inamovible. , que le permite interceptar datos transmitidos por suscriptores durante una llamada o mediante SMS. Sólo los operadores tienen acceso a SS7, pero los atacantes pueden obtenerlo comprando acceso en la red oscura a operadores de países subdesarrollados o a través de empleados sin escrúpulos de operadores móviles. Un ataque ocurre cuando un atacante cambia la dirección del sistema de facturación del suscriptor a su propia dirección. La mayoría de las veces, los atacantes informan al sistema que el suscriptor está en roaming internacional, por lo que la forma más fácil de protegerse es desactivar el roaming internacional si no lo utiliza.
Alexey Mironov aún no tenía configurado un sistema de autenticación de dos factores para Vkontakte. Esta función en VK en junio de 2014. Quizás ella podría proteger su cuenta para que no fuera pirateada. Vale la pena recordar que simplemente vincular una cuenta a un número de teléfono no es una autenticación de dos factores. — esta es la protección del inicio de sesión en una cuenta cuando, además de la contraseña, se realiza otra acción. La opción más común es un código SMS. Este método no es el más fiable, ya que los atacantes pueden interceptar el mensaje SMS. Las opciones más seguras son un archivo de clave, códigos temporales, una aplicación móvil y un token de hardware.
Desafortunadamente, nos vemos obligados a vivir en una era en la que garantizar la seguridad de los datos se convierte en nuestro propio problema. Esperan que los operadores asuman la responsabilidad de forma independiente en caso de hackeo, pero aparentemente no es el caso. Además de confiar en Roskomnadzor, que hace tiempo que está divorciado de la realidad en sus prácticas de protección de datos. Es increíblemente difícil romper la armadura del "material de rechazo" del oficial de policía local que recibirá su solicitud en un caso similar, especialmente para una persona común y corriente que no sabe cómo funciona este sistema. ¿Lo que queda? No te olvides de la higiene digital, confía en las matemáticas y defiende tus derechos ante los tribunales.
Fuente: habr.com