Petturid varastasid MTS-i kliendituvastussüsteemi haavatavuse tõttu ettevõtja Aleksei Mironovi VKontakte lehe. Sotsiaalvõrgustik pole seda kunagi omanikule tagastanud ja nõuab temalt võimatut. Nüüd kaebab ta selle eest VKontakte'i kohtusse. Teda esindab Digiõiguste Keskus.
Aleksei Mironov on Jeffrey's Coffee keti asutaja. See on Moskva ja piirkondade kohvikute frantsiis. Aleksei suhtles VKontakte'is sageli kolleegide ja partneritega ning pidas seal oma võrgu jaoks väga populaarset avalikku lehte, millel on üle 50 000 abonendi.
2018. aasta novembris varahommikul, kui Aleksei oli Hiinas ärireisil, häkiti sisse tema VKontakte leht. Ta sai SMS-i VKontakte'ilt, WhatsAppilt ja MTS-i operaatorilt sõnumi, mis ütles, et on seadistatud suunamine teisele numbrile. Aleksei ei seadistanud edasisuunamist, nii et ta muretses kohe ja helistas MTS-ile. Nad isegi ei tuvastanud kohe, et ümbersuunamine oli tõepoolest olemas. Operaator suutis selle välja lülitada vaid kaks tundi pärast Aleksei kõnet. MTS ei leidnud kunagi andmeid selle kohta, kuidas ja millal edastamine aktiveeriti.
Aleksei kontrollis juurdepääsu sotsiaalvõrgustikele ja kiirsõnumitele ning nägi, et ta ei saa enam oma telefoninumbriga neisse sisse logida. Häkkerid sidusid tema kontodega veel ühe numbri. WhatsAppiga lahenes probleem kiiresti. Vahetult pärast edastamise tühistamist taastas messenger õigusjärgsele omanikule juurdepääsu kontole.
Aleksei kirjutas VKontakte toele, paludes leht tagastada, ja saatis oma passi foto. Õhtul sai ta SMS-i, et taotlus lükati tagasi, kuna praegune omanik kinnitas juurdepääsuõiguse.
Tehnilise toe spetsialist teatas, et Aleksei võib vabatahtlikult oma lehele juurdepääsu kolmandatele isikutele üle anda, nii et nad ei taasta tema juurdepääsu. Aleksei selgitas häkkimise olukorda, kuid tal paluti saata MTS-i kinnituskiri, milles operaator kinnitab häkkimise toimumist. Aleksei saatis MTS-i kirja. Pärast seda nõudis VKontakte administratsioon selle kirja kinnitamist politsei poolt. Seda nõuet on väga raske täita, sest kirjade ja allakirjutanu volikirjade kinnitamine ei ole politsei ülesanne. Aleksei suutis häkitud lehe blokeerida ainult siis, kui küsis isiklikult VKontakte töötajatelt, keda ta teadis. Leht pole veel tagastatud. Ainus, mida Aleksei saavutas, oli tema konto blokeerimine. Nüüd ei saa seda kasutada ei petturid ega ta ise.
VKontakte tugiteenus on erinev lugu. VKontakte tugiteenusega saavad ühendust võtta ainult volitatud kasutajad. See tähendab, et kui kaotate juurdepääsu oma lehele, peate toetuse kirjutamiseks looma uue või paluma sõpradel oma lehtedele juurdepääs anda. Aleksei pidas kirjavahetust oma naise lehe tugiteenuste spetsialistidega ja see ei häirinud neid, kuigi kasutusleping ei luba kasutajanime ja parooli kellelegi teisele üle kanda.
Lehe häkkimine ning edasine juurdepääsu kaotamine kontole ja avalikule lehele kahjustas ilmselgelt nii Aleksei ärilist mainet kui ka tema varalisi huve. Rääkimata sellest, et see võimaldas märkimisväärsel hulgal isiklikku ja ärilist teavet lekkida teadmata sihtkohtadesse. Petturid ärimehe kontolt palusid tema sõpradel neile suured rahasummad üle kanda. Üks inimene kandis neile 34 tuhat rubla. Ründajatel oli XNUMX tundi juurdepääs Aleksei konto isiklikule teabele.
Hagi VKontakte vastu
Aleksei Mironov esitas sotsiaalvõrgustiku VKontakte vastu hagi Peterburi Smolninski ringkonnakohtusse ja ootab nüüd kohtuasja määramist. Ta palub kohtul kohustada sotsiaalvõrgustikku täitma omapoolset Kasutuslepingu vormis sõlmitud lepingut ja tagastama talle juurdepääsu oma lehele. Tänaseni võtab VKontakte administratsioon Alekseilt oma kontole juurdepääsu põhjendamatult ilma, samas täitis ta kohusetundlikult kasutajalepingu tingimusi ja teavitas häkkimisest kohe sotsiaalvõrgustiku tehnilise toe teenust. VKontakte keeldus oma juurdepääsu lehele taastamast, viidates kasutajalepingu klauslile, mis keelab kasutajatel oma lehe sisselogimise ja parooli kolmandatele isikutele üle anda. VKontakte tugiagent, kellega Aleksei rääkis, teatas, et telefoninumbrite edastamise saate seadistada ainult operaatori kontorit külastades ja passi esitades. Tegelikult see nii ei ole ja seda kinnitas Roskomnadzor vastuseks Aleksei apellatsioonile.
Sotsiaalne võrgustik piiras kasutajalepingut rikkudes põhjendamatult Aleksei juurdepääsu oma lehe kasutamisele. See on ühepoolne kohustuste täitmisest keeldumine, millega rikutakse artikli 1 lõiget 30. XNUMX Vene Föderatsiooni tsiviilseadustik. Võttes talt juurdepääsu oma kontole, võttis VK Alekseilt ka õigused hallata oma avalikku lehte, mis on tema jaoks oluline immateriaalne vara. (Kirjutasime avalikust turust kui uuest digivara vormist ja nendega tehingute tegemise iseärasustest
Turvaaugud MTS identifitseerimissüsteemis
Petturite poolt ettevõtja nimel peetud kirjavahetus näitab, et nad teadsid tema äri- ja komandeeringust. Nad helistasid MTS-i kontaktkeskusesse, suutsid end Aleksei nimel tuvastada ja seadistada kõne suunamise. Ründajad võisid tema passiandmed hankida sotsiaalse manipuleerimise kaudu. Aleksei Mironov on frantsiisi asutaja, nii et paljudel frantsiisiasutuste avamisega seotud inimestel võiks olla tema passiandmed. MTS viis läbi sisejuurdluse, kuid ei suutnud kindlaks teha, kes täpselt edastamise paigaldas ja kuidas ründaja SMS-i pealt võttis. Ettevõte süüd ei tunnistanud, kuid pakkus Alekseile samas väga kummalist hüvitist - 750 rubla.
Arvasime, et abonendi kaugtuvastamine ainult õigete isikuandmete abil on väga kahtlane praktika ja kirjutasime Roskomnadzorile kaebuse, et kontrollida seda tüüpi ettevõtte protsessi vastavust isikuandmeid käsitlevate õigusaktide nõuetele. Selle tulemusel asus Roskomnadzor MTS-i poolele, viidates sellele, et sideteenuste haldamine pärast telefoni teel kaugtuvastamist ja õigete isikuandmete esitamine on üsna tavaline ning täiendavate kaitsemeetodite loomine seda tüüpi volitamata toimingute eest on peavalu abonendile endale, mitte. ettevõtet. (loe täielikku vastust -
Aleksei Mironovi konto häkkimine pole esimene juhtum, mil MTS-i abonendi andmetele on volitamata juurdepääs. 2018. aastal 500 tuhande tellija andmebaas
2016. aastal olid
Erinevate veebiteenuste ja -rakenduste kontode kaitsmine häkkimise eest on kasutaja enda kohustus. Seda seisukohta jagavad nii sideoperaatorid kui ka regulaator ise, mille kohaselt nad keelduvad neid riske oma abonentidega jagamast.
RKN kirjeldab seda oma vastuses järgmiselt:
“... Vastavalt MTS-i tingimuste punktile 2.11 antakse sideoperaatori abonentidele identifitseerimise eesmärgil võimalus kasutada koodsõna - abonendi poolt määratud sümbolite (tähtede, numbrite) jada vormis, mille on kehtestanud. Operaator, mille ülesandeks on Lepingu täitmisel Abonendi tuvastamine. Tellijal on võimalus määrata koodsõna nii lepingu sõlmimisel (sel juhul kantakse see koos kohustuslike andmetega lepinguvormi) kui ka igal ajal lepingu täitmise ajal. Sellest hoolimata tellis Mironov A.K. koodsõna ei seatud enne teenuse vaidlusalust ühendamist. Sellistel asjaoludel sai ainult abonent, kehtestades sideoperaatoriga tuvastamisel koodisõna, neutraliseerida sellistest olukordadest tulenevate kahjulike tagajärgede riski, kuid ei kasutanud seda võimalust.
Konto taastamine. Võimatu missioon
Kaebus Roskomnadzori tegevusetuse kohta on juba prokuratuurile esitatud. Vahepeal vaikib politsei kuriteoteate kohta. Ka ettevõtte sees ei teata keegi midagi uurimise tulemustest. MTS oma süüd ei tunnista. Kedagi ei huvita. Samal ajal keeldub VKontakte jätkuvalt kontoomanikule juurdepääsu taastamisest seni, kuni ta toob politseilt kriminaalasja algatamise otsuse, milles tuvastatakse nimetatud asjaolud, ja MTS-i kirja, mis kinnitab ümbersuunamisteenuse vaidlustamist. Üsna ulatuslike selgitustega kirjas on ka nõue, et Mironov peab esitama ka MTS-i tõendi selle kohta, et ta on lingitud telefoninumbri ainus (ja mis, kuhu operaatorid registreerivad telefoninumbrite kaasomandi?) kasutaja. lehel. Vastus saabus eelmise nädala lõpus ning arvestades olukorra ummikseisu ja seda, et VKontaktega juba pool aastat ei ole võimalik kokkuleppele jõuda, pöördusime kohtusse.
Kuidas end häkkimise eest kaitsta
Ründajatel on juurdepääs telefoninumbri haldamisele ka muude turvaaukude kaudu – SS7 protokoll või SIM-kaardi duplikaat hankimine hoolimatute operaatoritöötajate abiga.
SS7 on tehniline protokoll, mida kasutavad sideoperaatorid. See sisaldab vana ja ilmselt eemaldamatut
Aleksei Mironovil polnud Vkontakte jaoks veel kahefaktorilist autentimissüsteemi konfigureeritud. See funktsioon
Kahjuks oleme sunnitud elama ajastul, kus andmete turvalisuse tagamine muutub meie enda probleemiks. Nad loodavad, et operaatorid kannavad iseseisvalt vastutust häkkimise korral, kuid ilmselt see nii ei ole. Nagu ka toetumine Roskomnadzorile, kes on oma andmekaitsepraktikates juba ammu reaalsusest lahutatud. Teie avalduse samalaadse juhtumi puhul vastuvõtva kohaliku politseiniku “keeldumismaterjali” soomust on uskumatult raske läbi murda, eriti tavainimesel, kes selle süsteemi toimimist ei tea. Mis jääb alles? Ärge unustage digihügieeni, usaldage matemaatikat ja kaitske oma õigusi kohtus.
Allikas: www.habr.com