Petturid varastasid MTS-i kliendituvastussüsteemi haavatavuse tõttu ettevõtja Aleksei Mironovi VKontakte lehe. Sotsiaalvõrgustik pole seda kunagi omanikule tagastanud ja nõuab temalt võimatut. Nüüd kaebab ta selle eest VKontakte'i kohtusse. Teda esindab Digiõiguste Keskus.
Aleksei Mironov on Jeffrey's Coffee keti asutaja. See on Moskva ja piirkondade kohvikute frantsiis. Aleksei suhtles VKontakte'is sageli kolleegide ja partneritega ning pidas seal oma võrgu jaoks väga populaarset avalikku lehte, millel on üle 50 000 abonendi.
2018. aasta novembris varahommikul, kui Aleksei oli Hiinas ärireisil, häkiti sisse tema VKontakte leht. Ta sai SMS-i VKontakte'ilt, WhatsAppilt ja MTS-i operaatorilt sõnumi, mis ütles, et on seadistatud suunamine teisele numbrile. Aleksei ei seadistanud edasisuunamist, nii et ta muretses kohe ja helistas MTS-ile. Nad isegi ei tuvastanud kohe, et ümbersuunamine oli tõepoolest olemas. Operaator suutis selle välja lülitada vaid kaks tundi pärast Aleksei kõnet. MTS ei leidnud kunagi andmeid selle kohta, kuidas ja millal edastamine aktiveeriti.
Aleksei kontrollis juurdepääsu sotsiaalvõrgustikele ja kiirsõnumitele ning nägi, et ta ei saa enam oma telefoninumbriga neisse sisse logida. Häkkerid sidusid tema kontodega veel ühe numbri. WhatsAppiga lahenes probleem kiiresti. Vahetult pärast edastamise tühistamist taastas messenger õigusjärgsele omanikule juurdepääsu kontole.
Aleksei kirjutas VKontakte toele, paludes leht tagastada, ja saatis oma passi foto. Õhtul sai ta SMS-i, et taotlus lükati tagasi, kuna praegune omanik kinnitas juurdepääsuõiguse.
Tehnilise toe spetsialist teatas, et Aleksei võib vabatahtlikult oma lehele juurdepääsu kolmandatele isikutele üle anda, nii et nad ei taasta tema juurdepääsu. Aleksei selgitas häkkimise olukorda, kuid tal paluti saata MTS-i kinnituskiri, milles operaator kinnitab häkkimise toimumist. Aleksei saatis MTS-i kirja. Pärast seda nõudis VKontakte administratsioon selle kirja kinnitamist politsei poolt. Seda nõuet on väga raske täita, sest kirjade ja allakirjutanu volikirjade kinnitamine ei ole politsei ülesanne. Aleksei suutis häkitud lehe blokeerida ainult siis, kui küsis isiklikult VKontakte töötajatelt, keda ta teadis. Leht pole veel tagastatud. Ainus, mida Aleksei saavutas, oli tema konto blokeerimine. Nüüd ei saa seda kasutada ei petturid ega ta ise.
VKontakte tugiteenus on erinev lugu. VKontakte tugiteenusega saavad ühendust võtta ainult volitatud kasutajad. See tähendab, et kui kaotate juurdepääsu oma lehele, peate toetuse kirjutamiseks looma uue või paluma sõpradel oma lehtedele juurdepääs anda. Aleksei pidas kirjavahetust oma naise lehe tugiteenuste spetsialistidega ja see ei häirinud neid, kuigi kasutusleping ei luba kasutajanime ja parooli kellelegi teisele üle kanda.
Lehe häkkimine ning edasine juurdepääsu kaotamine kontole ja avalikule lehele kahjustas ilmselgelt nii Aleksei ärilist mainet kui ka tema varalisi huve. Rääkimata sellest, et see võimaldas märkimisväärsel hulgal isiklikku ja ärilist teavet lekkida teadmata sihtkohtadesse. Petturid ärimehe kontolt palusid tema sõpradel neile suured rahasummad üle kanda. Üks inimene kandis neile 34 tuhat rubla. Ründajatel oli XNUMX tundi juurdepääs Aleksei konto isiklikule teabele.
Hagi VKontakte vastu
Aleksei Mironov esitas sotsiaalvõrgustiku VKontakte vastu hagi Peterburi Smolninski ringkonnakohtusse ja ootab nüüd kohtuasja määramist. Ta palub kohtul kohustada sotsiaalvõrgustikku täitma omapoolset Kasutuslepingu vormis sõlmitud lepingut ja tagastama talle juurdepääsu oma lehele. Tänaseni võtab VKontakte administratsioon Alekseilt oma kontole juurdepääsu põhjendamatult ilma, samas täitis ta kohusetundlikult kasutajalepingu tingimusi ja teavitas häkkimisest kohe sotsiaalvõrgustiku tehnilise toe teenust. VKontakte keeldus oma juurdepääsu lehele taastamast, viidates kasutajalepingu klauslile, mis keelab kasutajatel oma lehe sisselogimise ja parooli kolmandatele isikutele üle anda. VKontakte tugiagent, kellega Aleksei rääkis, teatas, et telefoninumbrite edastamise saate seadistada ainult operaatori kontorit külastades ja passi esitades. Tegelikult see nii ei ole ja seda kinnitas Roskomnadzor vastuseks Aleksei apellatsioonile.
Sotsiaalne võrgustik piiras kasutajalepingut rikkudes põhjendamatult Aleksei juurdepääsu oma lehe kasutamisele. See on ühepoolne kohustuste täitmisest keeldumine, millega rikutakse artikli 1 lõiget 30. XNUMX Vene Föderatsiooni tsiviilseadustik. Võttes talt juurdepääsu oma kontole, võttis VK Alekseilt ka õigused hallata oma avalikku lehte, mis on tema jaoks oluline immateriaalne vara. (Kirjutasime avalikust turust kui uuest digivara vormist ja nendega tehingute tegemise iseärasustest )
Turvaaugud MTS identifitseerimissüsteemis
Petturite poolt ettevõtja nimel peetud kirjavahetus näitab, et nad teadsid tema äri- ja komandeeringust. Nad helistasid MTS-i kontaktkeskusesse, suutsid end Aleksei nimel tuvastada ja seadistada kõne suunamise. Ründajad võisid tema passiandmed hankida sotsiaalse manipuleerimise kaudu. Aleksei Mironov on frantsiisi asutaja, nii et paljudel frantsiisiasutuste avamisega seotud inimestel võiks olla tema passiandmed. MTS viis läbi sisejuurdluse, kuid ei suutnud kindlaks teha, kes täpselt edastamise paigaldas ja kuidas ründaja SMS-i pealt võttis. Ettevõte süüd ei tunnistanud, kuid pakkus Alekseile samas väga kummalist hüvitist - 750 rubla.
Arvasime, et abonendi kaugtuvastamine ainult õigete isikuandmete abil on väga kahtlane praktika ja kirjutasime Roskomnadzorile kaebuse, et kontrollida seda tüüpi ettevõtte protsessi vastavust isikuandmeid käsitlevate õigusaktide nõuetele. Selle tulemusel asus Roskomnadzor MTS-i poolele, viidates sellele, et sideteenuste haldamine pärast telefoni teel kaugtuvastamist ja õigete isikuandmete esitamine on üsna tavaline ning täiendavate kaitsemeetodite loomine seda tüüpi volitamata toimingute eest on peavalu abonendile endale, mitte. ettevõtet. (loe täielikku vastust - )
Aleksei Mironovi konto häkkimine pole esimene juhtum, mil MTS-i abonendi andmetele on volitamata juurdepääs. 2018. aastal 500 tuhande tellija andmebaas Novosibirskis kaks ründajat, kellest üks oli firma töötaja. Andmebaasi üritati müüa hinnaga 1 rubla ühe abonendi andmete eest.
2016. aastal olid Opositsiooniaktivistide Georgi Alburovi ja Oleg Kozlovski telegrammikontod. Nende kontod olid lingitud MTS-i numbritega ja vahetult enne häkkimist keelati nende SMS-teenus ja lubati edastamine. Samuti ei tuvastatud sissemurdmise asjaolusid. 2019. aastal esitas Oleg Kozlovsky MTS-i vastu hagi, kuid kohus lükkas selle tagasi.
Erinevate veebiteenuste ja -rakenduste kontode kaitsmine häkkimise eest on kasutaja enda kohustus. Seda seisukohta jagavad nii sideoperaatorid kui ka regulaator ise, mille kohaselt nad keelduvad neid riske oma abonentidega jagamast.
RKN kirjeldab seda oma vastuses järgmiselt:
“... Vastavalt MTS-i tingimuste punktile 2.11 antakse sideoperaatori abonentidele identifitseerimise eesmärgil võimalus kasutada koodsõna - abonendi poolt määratud sümbolite (tähtede, numbrite) jada vormis, mille on kehtestanud. Operaator, mille ülesandeks on Lepingu täitmisel Abonendi tuvastamine. Tellijal on võimalus määrata koodsõna nii lepingu sõlmimisel (sel juhul kantakse see koos kohustuslike andmetega lepinguvormi) kui ka igal ajal lepingu täitmise ajal. Sellest hoolimata tellis Mironov A.K. koodsõna ei seatud enne teenuse vaidlusalust ühendamist. Sellistel asjaoludel sai ainult abonent, kehtestades sideoperaatoriga tuvastamisel koodisõna, neutraliseerida sellistest olukordadest tulenevate kahjulike tagajärgede riski, kuid ei kasutanud seda võimalust.
Konto taastamine. Võimatu missioon
Kaebus Roskomnadzori tegevusetuse kohta on juba prokuratuurile esitatud. Vahepeal vaikib politsei kuriteoteate kohta. Ka ettevõtte sees ei teata keegi midagi uurimise tulemustest. MTS oma süüd ei tunnista. Kedagi ei huvita. Samal ajal keeldub VKontakte jätkuvalt kontoomanikule juurdepääsu taastamisest seni, kuni ta toob politseilt kriminaalasja algatamise otsuse, milles tuvastatakse nimetatud asjaolud, ja MTS-i kirja, mis kinnitab ümbersuunamisteenuse vaidlustamist. Üsna ulatuslike selgitustega kirjas on ka nõue, et Mironov peab esitama ka MTS-i tõendi selle kohta, et ta on lingitud telefoninumbri ainus (ja mis, kuhu operaatorid registreerivad telefoninumbrite kaasomandi?) kasutaja. lehel. Vastus saabus eelmise nädala lõpus ning arvestades olukorra ummikseisu ja seda, et VKontaktega juba pool aastat ei ole võimalik kokkuleppele jõuda, pöördusime kohtusse.
Kuidas end häkkimise eest kaitsta
Ründajatel on juurdepääs telefoninumbri haldamisele ka muude turvaaukude kaudu – SS7 protokoll või SIM-kaardi duplikaat hankimine hoolimatute operaatoritöötajate abiga.
SS7 on tehniline protokoll, mida kasutavad sideoperaatorid. See sisaldab vana ja ilmselt eemaldamatut , mis võimaldab pealt kuulata abonentide edastatud andmeid kõne ajal või SMS-i teel. SS7-le on juurdepääs ainult operaatoritel, kuid ründajad saavad selle hankida, ostes juurdepääsu pimevõrgus vähearenenud riikide operaatoritelt või mobiilsideoperaatorite hoolimatute töötajate kaudu. Rünnak toimub siis, kui ründaja muudab abonendi arveldussüsteemi aadressi enda aadressiks. Enamasti teavitavad ründajad süsteemi, et abonent on rahvusvahelises rändluses, seega on lihtsaim viis enda kaitsmiseks keelata rahvusvaheline rändlus, kui te seda ei kasuta.
Aleksei Mironovil polnud Vkontakte jaoks veel kahefaktorilist autentimissüsteemi konfigureeritud. See funktsioon juunil 2014 VK-s. Võib-olla suudab ta kaitsta tema kontot häkkimise eest. Tasub meeles pidada, et lihtsalt konto sidumine telefoninumbriga ei ole kahefaktoriline autentimine. — see on kontole sisselogimise kaitse, kui lisaks paroolile tehakse mõni muu toiming. Kõige tavalisem valik on SMS-kood. See meetod ei ole kõige usaldusväärsem, kuna ründajad võivad SMS-sõnumi pealt kuulata. Turvalisemad valikud on võtmefail, ajutised koodid, mobiilirakendus ja riistvaramärk.
Kahjuks oleme sunnitud elama ajastul, kus andmete turvalisuse tagamine muutub meie enda probleemiks. Nad loodavad, et operaatorid kannavad iseseisvalt vastutust häkkimise korral, kuid ilmselt see nii ei ole. Nagu ka toetumine Roskomnadzorile, kes on oma andmekaitsepraktikates juba ammu reaalsusest lahutatud. Teie avalduse samalaadse juhtumi puhul vastuvõtva kohaliku politseiniku “keeldumismaterjali” soomust on uskumatult raske läbi murda, eriti tavainimesel, kes selle süsteemi toimimist ei tea. Mis jääb alles? Ärge unustage digihügieeni, usaldage matemaatikat ja kaitske oma õigusi kohtus.
Allikas: www.habr.com