Iruzurgileek Alexey Mironov enpresariaren VKontakte orria lapurtu zuten MTS bezeroak identifikatzeko sistemaren ahultasun bat zela eta. Sare sozialak ez dio inoiz bere jabeari itzuli eta ezinezkoa eskatzen ari zaio. Orain VKontakte salatzen ari da horregatik. Eskubide Digitalen Zentroak ordezkatzen du.
Alexey Mironov Jeffrey's Coffee katearen sortzailea da. Hau Moskuko eta eskualdeetako kafetegien frankizia bat da. Alexey askotan VKontakte-n lankide eta bazkideekin komunikatzen zen eta bere sarerako orrialde publiko oso ezaguna mantentzen zuen bertan, 50 harpidedun baino gehiago zituen.
2018ko azaroan, goizean goiz, Alexey Txinan negozio bidaia batean zegoela, bere VKontakte orria pirateatu zuten. VKontakte, WhatsApp eta MTS operadorearen mezu bat jaso zituen, beste zenbaki batera desbideratzea ezarrita zegoela zioen. Alexeyk ez zuen bidalketa konfiguratu, beraz, berehala kezkatu zen eta MTS deitu zuen. Berehala ere ez zuten zehaztu birbideratzerik zegoenik. Operadoreak Alexeyren deia egin eta bi ordura bakarrik itzali ahal izan zuen. MTS-k ez du inoiz aurkitu birbidaltzea nola eta noiz aktibatu zenari buruzko daturik.
Alexeyk sare sozialetarako eta berehalako mezularietarako sarbidea egiaztatu zuen eta ikusi zuen ezin zuela gehiago haietan sartu bere telefono zenbakia erabiliz. Hackerrek beste zenbaki bat lotu zuten bere kontuekin. WhatsApp-ekin arazoa azkar konpondu zen. Bidalketa bertan behera utzi eta berehala, mezulariak konturako sarbidea berrezarri zion legezko jabeari.
Alexeyk VKontakte laguntza-ri orria itzultzeko eskatuz idatzi zuen eta bere pasaportearen argazkia bidali zuen. Arratsaldean SMS bat jaso zuen eskaerari uko egin ziotela, egungo jabeak sartzeko eskubidea berretsi baitzuen.
Laguntza teknikoko espezialista batek adierazi zuen Alexeyk borondatez bere orrirako sarbidea hirugarrenei transferi diezaiekeela, beraz, ez dute bere sarbidea berrezartuko. Alexeyk hacking egoera azaldu zuen, baina MTS-ren berrespen gutun bat bidaltzeko eskatu zioten, non operadoreak hackea gertatu zela baieztatuko zuen. Alexeyk MTS-ren gutun bat eman zuen. Horren ostean, VKontakte administrazioak gutun hori poliziak egiaztatzea eskatu zuen. Baldintza hori oso zaila da betetzea, ez baita poliziaren funtzioa gutunak eta sinatzailearen egiaztagiriak egiaztatzea. Alexeyk hackeatutako orria blokeatu ahal izan zuen VKontakte-ko langileei pertsonalki eskatuz soilik. Orria ez da oraindik itzuli. Alexeyk lortu zuen bakarra kontua blokeatzea izan zen. Orain ez iruzurgileek ez berak ezin dute erabili.
VKontakte laguntza zerbitzua beste istorio bat da. Baimendutako erabiltzaileek soilik jar dezakete harremanetan VKontakte laguntza-zerbitzuarekin. Horrek esan nahi du zure orrirako sarbidea galtzen baduzu, berri bat sortu behar duzula edo zure lagunei eskatu behar diezula haien orrietarako sarbidea emateko laguntza idazteko. Alexey bere emaztearen orrialdeko laguntza-zerbitzuko espezialistekin harremanetan jarri zen, eta horrek ez zituen molestatu, nahiz eta Erabiltzaile-Akordioak saio-hasiera eta pasahitza beste norbaiti transferitzen uzten ez duen.
Orria pirateatzea eta konturako eta orri publikorako sarbidea galtzeak, jakina, Alexeyren negozio-ospea eta bere jabetza-interesak kaltetu zituzten. Zer esanik ez, horri esker informazio pertsonal eta komertzial kopuru handia helmuga ezezagunetara isurtzen zen. Enpresaburuaren kontuko iruzurgileek bere lagunei eskatu zieten diru kopuru handiak transferitzeko. Pertsona batek 34 mila errublo transferitu zizkien. Erasotzaileek Alexeyren kontuko informazio pertsonala eskura izan zuten XNUMX orduz.
VKontakteren aurkako auzia
Alexey Mironov-ek VKontakte sare sozialaren aurkako kereila aurkeztu zuen San Petersburgoko Smolninsky Barrutiko Auzitegian eta orain kasua esleitzeko zain dago. Epaileari eskatzen dio sare soziala bere hitzarmen propioa betetzera behartzeko, Erabiltzaile-Akordio moduan egina, eta bere orrialderako sarbidea itzul dezala. Gaur arte, VKontakte administrazioak Alexeyri bere konturako sarbidea kentzen jarraitzen du arrazoirik gabe, Erabiltzaile-Akordioaren baldintzak kontzienteki betetzen zituen bitartean eta berehala sare sozialeko laguntza-zerbitzuari hackearen berri eman zion. VKontaktek uko egin zion orrialderako sarbidea berrezartzeari, erabiltzaileek euren orrialdeko saio-saioa eta pasahitza hirugarrenei transferitzea debekatzen dien Erabiltzaile-Akordioko klausula bat aipatuz. Alexeyrekin hitz egin zuen VKontakte laguntza-agenteak adierazi zuen telefono-zenbakia birbidaltzea operadorearen bulegoa bisitatuz eta pasaportea aurkeztuz soilik konfigura dezakezula. Izan ere, ez da horrela, eta hori baieztatu zuen Roskomnadzorrek Alexeyren helegiteari erantzunez.
Sare sozialak, Erabiltzaile-Akordioa urratuz, arrazoirik gabe mugatu zuen Alexey-k bere orriaren erabilerarako sarbidea. Betebeharrak betetzeari aldebakarreko uko egitea da, artikuluaren 1. paragrafoa hausten duena. Errusiako Federazioko Kode Zibila 30. Bere konturako sarbidea kenduta, VK-k Alexei bere orri publikoa administratzeko eskubideak ere kendu zizkion, hau da, berarentzat ondasun ukiezin garrantzitsua dena. (Merkatu publikoari buruz idatzi genuen jabetza digitalaren forma berri gisa eta haiekin transakzioak egiteko berezitasunei buruz )
MTS identifikazio sisteman segurtasun-zuloak
Iruzurgileek enpresariaren izenean egindako korrespondentziak erakusten du bere negozio- eta negozio-bidaia ezagutzen zutela. MTS kontaktu zentrora deitu zuten, Alexeyren izenean identifikatu eta deiak desbideratzeko aukera izan zuten. Erasotzaileek bere pasaportearen datuak lor ditzakete ingeniaritza sozialaren bidez. Alexey Mironov frankiziaren sortzailea da, beraz, frankizia-establezimenduak irekitzen parte hartzen duten pertsonek bere pasaportearen informazioa izan dezakete. MTS-k barne ikerketa bat egin zuen, baina ezin izan zuen zehaztu zeinek instalatu zuen birbidaltzea eta erasotzaileak SMSa nola atzeman zuen. Konpainiak ez zuen errudun aitortu, baina, aldi berean, Alexei oso kalte-ordain arraroa eskaini zion - 750 errublo.
Harpidedun bat datu pertsonal zuzenak erabiliz soilik urrutitik identifikatzea oso zalantzazko praktika dela uste genuen eta kexa bat idatzi genuen Roskomnadzor-i, mota honetako enpresa-prozesuak datu pertsonalei buruzko legediaren eskakizunak betetzen dituela egiaztatzeko. Ondorioz, Roskomnadzorrek MTSren alde egin zuen, eta adierazi zuen telefonoz urruneko identifikazioaren ondoren komunikazio zerbitzuak kudeatzea nahiko normala dela datu pertsonal zuzenak emanez, eta baimendu gabeko ekintzen aurka babesteko metodo osagarriak ezartzea harpidedunarentzat berarentzat buruhaustea dela, ez. konpainia . (irakurri erantzun osoa - )
Alexey Mironov-en kontua pirateatzea ez da MTS harpidedunen datuetara baimenik gabe sartzeko lehen kasua. 2018an, 500 mila harpidedunen datu-basea Novosibirsken bi erasotzaile, horietako bat enpresako langilea. Datu-basea errublo 1 prezioan saltzen saiatu ziren harpidedun baten datuengatik.
2016an egon ziren Georgy Alburov eta Oleg Kozlovsky oposizioko aktibisten Telegram kontuak. Haien kontuak MTS zenbakiekin lotuta zeuden, eta hackeatu aurretik, SMS zerbitzua desgaitu eta birbidaltzea gaitu zen. Hausturaren inguruabarrak ere ez ziren zehaztu. 2019an, Oleg Kozlovskyk kereila bat aurkeztu zuen MTSren aurka, baina auzitegiak atzera bota zuen.
Hainbat web-zerbitzu eta aplikazioren kontuak hackeetatik babestea erabiltzailearen beraren ardura da. Jarrera hori telekomunikazio-operadoreek eta erregulatzaileak berak partekatzen dute, eta, horren arabera, uko egiten diote arrisku horiek beren harpidedunekin partekatzeari.
RKNk honela deskribatzen du bere erantzunean:
“... MTS Baldintzen 2.11 klausularen arabera, identifikazio-helburuetarako, telekomunikazio-operadorearen harpidedunei Kode Hitza erabiltzeko aukera ematen zaie - Harpidedunak ezarritako forman zehaztutako sinboloen (letrak, zenbakiak) sekuentzia bat. Eragilea, Kontratua gauzatzean Harpideduna identifikatzeko balio duena. Harpidedunak aukera du kode-hitz bat ezartzeko bai hitzarmena sinatzen denean (kasu honetan hitzarmen-formularioan derrigorrezko xehetasunekin batera sartzen da) bai hitzarmena gauzatzean edozein unetan. Hala ere, harpidedun Mironov A.K. kode-hitza ez zen ezarri zerbitzuaren eztabaida eztabaidatu aurretik. Egoera horietan, harpidedunak soilik, telekomunikazio-operadorearekin identifikatzeko garaian kode-hitza ezarriz, egoera horien ondorio kaltegarriak izateko arriskua neutralizatu zezakeen, baina ez zuen aukera hori aprobetxatu».
Kontua berreskuratzea. Ezinezko misioa
Roskomnadzorren jardunik ezaren inguruko salaketa jarri dute dagoeneko fiskaltzan. Bitartean, poliziak isilik jarraitzen du delitu txostenaren inguruan. Inork ere ez du ezer jakinarazi enpresa barruan ikerketaren emaitzei buruz. MTS-k ez du inolako errurik onartzen. Inori ez zaio axola. Aldi berean, VKontaktek kontuaren jabeari uko egiten jarraitzen dio sarbidea berrezartzeari, poliziarengandik zehaztutako gertakariak ezartzen dituen zigor-espediente bat hasteko Ebazpena eta MTS-ren gutun bat, birbideratze-zerbitzua eztabaidagarria dela baieztatuko duen arte. Azalpen nahiko zabalak dituen gutunean, Mironov-ek MTS-ren ziurtagiria ere eman behar duela esaten du, eta zer, nonbait, operadoreek telefono-zenbakien jabetza bateratua erregistratzen dute?) lotuta zegoen telefono-zenbakiaren erabiltzaile bakarra dela. orrialdea. Joan den aste bukaeran iritsi zen erantzuna, eta egoeraren blokeoa eta orain sei hilabetez VKontakterekin akordio batera iristeko ezintasuna ikusita, epaitegietara jo genuen.
Nola babestu hackingetik
Erasotzaileek telefono-zenbaki bat kudeatzeko sarbidea ere lor dezakete beste ahultasun batzuen bidez - SS7 protokoloa edo SIM txartela bikoiztua eskuratzea eskrupulurik gabeko langileen laguntzarekin.
SS7 telekomunikazio-operadoreek erabiltzen duten protokolo teknikoa da. Zahar eta itxuraz kendu ezina dauka , harpidedunek dei batean edo SMS bidez transmititzen dituzten datuak atzemateko aukera ematen duena. Operadoreek bakarrik dute SS7rako sarbidea, baina erasotzaileek lor dezakete darknet-en sarbidea erosiz herrialde azpigaratuetako operadoreei edo mugikor-operadoreen eskrupulurik gabeko langileen bidez. Erasotzaile batek harpidedunaren fakturazio-sistemaren helbidea bere helbidera aldatzen duenean gertatzen da. Gehienetan, erasotzaileek sistemari jakinarazten diote harpideduna nazioarteko ibiltaritzan dagoela, beraz, zure burua babesteko modurik errazena nazioarteko ibiltaritza desgaitzea da erabiltzen ez baduzu.
Alexey Mironov-ek oraindik ez zuen Vkontakte-rako bi faktoreko autentifikazio sistema konfiguratuta. Funtzio hau VKn 2014ko ekainean. Beharbada, bere kontua hackeatzeaz babestu zezakeen. Gogoratu beharra dago kontu bat telefono-zenbaki batekin lotzea besterik ez dela bi faktoreko autentifikazioa. — Kontu batean saioa hasteko babesa da, pasahitzaz gain, beste ekintza bat egiten denean. Aukera ohikoena SMS kodea da. Metodo hau ez da fidagarriena, erasotzaileek SMS mezua atzeman dezaketelako. Aukera seguruagoak gako-fitxategi bat, aldi baterako kodeak, mugikorretarako aplikazio bat eta hardware-token bat dira.
Zoritxarrez, datuen segurtasuna bermatzea gure arazo bihurtzen den garai batean bizitzera behartuta gaude. Espero dute operadoreek modu independentean hartuko dutela erantzukizuna hack bat gertatuz gero, baina itxuraz ez da horrela. Baita Roskomnadzor-en konfiantza izatea ere, datuen babeserako praktiketan errealitatetik aldenduta dagoena. Izugarri zaila da antzeko kasu batean zure eskaera jasoko duen udaltzaingoaren "errefusa-materialaren" armadura apurtzea, batez ere sistema honek nola funtzionatzen duen ez dakien pertsona arrunt batentzat. Zer geratzen da? Ez ahaztu higiene digitala, izan matematikarengan konfiantza eta defendatu zure eskubideak auzitegietan.
Iturria: www.habr.com