کلاهبرداران صفحه VKontakte کارآفرین الکسی میرونوف را به دلیل آسیب پذیری در سیستم شناسایی مشتری MTS سرقت کردند. این شبکه اجتماعی هرگز آن را به صاحبش پس نداده و از او غیرممکن ها را می خواهد. اکنون او از VKontakte برای این موضوع شکایت کرده است. او توسط مرکز حقوق دیجیتال نمایندگی می شود.
الکسی میرونوف بنیانگذار زنجیره قهوه جفری است. این مجموعه ای از کافی شاپ ها در مسکو و مناطق است. الکسی اغلب با همکاران و شرکای خود در VKontakte ارتباط برقرار می کرد و یک صفحه عمومی بسیار محبوب را برای شبکه خود در آنجا حفظ می کرد که بیش از 50 مشترک داشت.
در نوامبر 2018، در اوایل صبح، زمانی که الکسی در یک سفر کاری به چین بود، صفحه VKontakte او هک شد. او پیامکی از VKontakte، WhatsApp و پیامی از اپراتور MTS دریافت کرد که گفت که ارسال به شماره دیگری تنظیم شده است. الکسی فورواردینگ را تنظیم نکرد، بنابراین بلافاصله نگران شد و با MTS تماس گرفت. آنها حتی بلافاصله تشخیص ندادند که واقعاً تغییر مسیر وجود دارد. اپراتور تنها دو ساعت پس از تماس الکسی توانست آن را خاموش کند. MTS هرگز اطلاعاتی در مورد چگونگی و زمان فعال شدن ارسال پیدا نکرد.
الکسی دسترسی به شبکه های اجتماعی و پیام رسان های فوری را بررسی کرد و دید که دیگر نمی تواند با استفاده از شماره تلفن خود وارد آنها شود. هکرها شماره دیگری را به حساب های او مرتبط کردند. با واتس اپ مشکل به سرعت حل شد. بلافاصله پس از لغو ارسال، پیام رسان دسترسی به حساب را به مالک قانونی بازگرداند.
الکسی به پشتیبانی VKontakte نوشت و درخواست کرد صفحه را بازگرداند و عکسی از پاسپورت خود ارسال کرد. در شب او پیامکی دریافت کرد که درخواست رد شده است، زیرا مالک فعلی حق دسترسی را تأیید کرده است.
یک متخصص پشتیبانی فنی اظهار داشت که الکسی می تواند به طور داوطلبانه دسترسی به صفحه خود را به اشخاص ثالث منتقل کند، بنابراین آنها دسترسی او را بازیابی نمی کنند. الکسی وضعیت هک را توضیح داد، اما از او خواسته شد تا نامه تاییدیه ای از MTS ارسال کند که در آن اپراتور تایید کند که هک رخ داده است. الکسی نامه ای از MTS ارائه کرد. پس از این، اداره VKontakte خواستار تایید این نامه توسط پلیس شد. تحقق این الزام بسیار دشوار است زیرا وظیفه پلیس تأیید نامه ها و اعتبارنامه امضاکنندگان نیست. الکسی تنها با پرسیدن شخصاً از کارمندان VKontakte که در مورد آن می دانست، توانست صفحه هک شده را مسدود کند. صفحه هنوز برگردانده نشده است. تنها چیزی که الکسی به آن دست یافت مسدود کردن حساب خود بود. اکنون نه کلاهبرداران و نه خود او نمی توانند از آن استفاده کنند.
سرویس پشتیبانی VKontakte داستان متفاوتی است. فقط کاربران مجاز می توانند با خدمات پشتیبانی VKontakte تماس بگیرند. این بدان معناست که اگر دسترسی به صفحه خود را از دست دادید، باید صفحه جدیدی ایجاد کنید یا از دوستان خود بخواهید که به صفحات خود دسترسی داشته باشند تا در پشتیبانی بنویسند. الکسی با متخصصان خدمات پشتیبانی از صفحه همسرش مکاتبه کرد و این باعث ناراحتی آنها نشد ، اگرچه توافقنامه کاربر اجازه انتقال ورود و رمز عبور را به شخص دیگری نمی دهد.
هک شدن صفحه و از دست دادن بیشتر دسترسی به حساب کاربری و صفحه عمومی، بدیهی است که هم به اعتبار تجاری الکسی و هم به منافع ملکی وی آسیب رساند. ناگفته نماند که این امر باعث شد تا حجم قابل توجهی از اطلاعات شخصی و تجاری به مقصدهای نامعلوم درز کند. کلاهبرداران از حساب تاجر از دوستانش خواستند که مبالغ زیادی را به آنها منتقل کنند. یک نفر به آنها 34 هزار روبل منتقل کرد. مهاجمان به مدت XNUMX ساعت به اطلاعات شخصی حساب الکسی دسترسی داشتند.
شکایت علیه VKontakte
الکسی میرونوف علیه شبکه اجتماعی VKontakte در دادگاه منطقه اسمولنینسکی سن پترزبورگ شکایت کرد و اکنون در انتظار تعیین تکلیف پرونده است. او از دادگاه می خواهد که شبکه اجتماعی را ملزم به اجرای توافقنامه خود که در قالب یک قرارداد کاربر منعقد شده است، کند و دسترسی او را به صفحه خود بازگرداند. تا به امروز ، مدیریت VKontakte همچنان به محرومیت الکسی از دسترسی غیرمنطقی به حساب خود ادامه می دهد ، در حالی که او با وجدان از شرایط قرارداد کاربر پیروی کرد و بلافاصله خدمات پشتیبانی فنی شبکه اجتماعی را در مورد هک اطلاع داد. VKontakte از بازگرداندن دسترسی خود به صفحه امتناع کرد و با استناد به بندی در قرارداد کاربر که کاربران را از انتقال ورود و رمز عبور صفحه خود به اشخاص ثالث منع می کند، خودداری کرد. نماینده پشتیبانی VKontakte که الکسی با او صحبت کرد اظهار داشت که می توانید فقط با مراجعه به دفتر اپراتور و ارائه پاسپورت خود، ارسال شماره تلفن را تنظیم کنید. در واقع، این مورد نیست، و این توسط Roskomnadzor در پاسخ به درخواست الکسی تایید شد.
این شبکه اجتماعی، با نقض قرارداد کاربر، دسترسی الکسی به استفاده از صفحه خود را به طور غیرمنطقی محدود کرد. این یک امتناع یکجانبه از انجام تعهدات است که نقض بند 1 هنر است. 30 قانون مدنی فدراسیون روسیه. VK با محروم کردن او از دسترسی به حساب خود، همچنین الکسی را از حقوق مدیریت صفحه عمومی خود که یک دارایی نامشهود مهم برای او است، محروم کرد. (ما در مورد بازار عمومی به عنوان شکل جدیدی از دارایی دیجیتال و ویژگی های انعقاد معاملات با آنها نوشتیم. )
حفره های امنیتی در سیستم شناسایی MTS
مکاتباتی که کلاهبرداران به نمایندگی از این کارآفرین انجام داده اند نشان می دهد که آنها از سفر کاری و کاری وی اطلاع داشته اند. آنها با مرکز تماس MTS تماس گرفتند، توانستند خود را از طرف الکسی شناسایی کنند و ارسال تماس را راه اندازی کنند. مهاجمان می توانستند اطلاعات پاسپورت او را از طریق مهندسی اجتماعی به دست آورند. الکسی میرونوف بنیانگذار این فرنچایز است، بنابراین بسیاری از افراد درگیر در افتتاح موسسات حق رای می توانند اطلاعات پاسپورت او را داشته باشند. MTS تحقیقات داخلی را انجام داد، اما نتوانست تعیین کند که چه کسی فوروارد را دقیقا نصب کرده و مهاجم چگونه پیامک را رهگیری کرده است. این شرکت گناه را نپذیرفت ، اما در همان زمان به الکسی غرامت بسیار عجیبی ارائه کرد - 750 روبل.
ما در نظر گرفتیم که شناسایی یک مشترک از راه دور فقط با استفاده از داده های شخصی صحیح یک عمل بسیار مشکوک است و شکایتی به Roskomnadzor نوشتیم تا مطابقت این نوع فرآیند شرکت را با الزامات قانون مربوط به داده های شخصی تأیید کند. در نتیجه، Roskomnadzor در کنار MTS قرار گرفت و خاطرنشان کرد که مدیریت خدمات ارتباطی پس از شناسایی از راه دور از طریق تلفن و در عین حال ارائه دادههای شخصی صحیح کاملاً طبیعی است و ایجاد روشهای حفاظتی اضافی در برابر این نوع اقدامات غیرمجاز برای خود مشترک دردسر است. شرکت . (پاسخ کامل را بخوانید - )
هک حساب الکسی میرونوف اولین مورد دسترسی غیرمجاز به داده های مشترک MTS نیست. در سال 2018، بانک اطلاعاتی 500 هزار مشترک در نووسیبیرسک دو مهاجم که یکی از آنها کارمند شرکت بود. آنها سعی کردند پایگاه داده را به قیمت 1 روبل برای داده های یک مشترک بفروشند.
در سال 2016 وجود داشت حسابهای تلگرامی فعالان مخالف، گئورگی آلبوروف و اولگ کوزلوفسکی. حساب های آن ها به شماره های MTS مرتبط شده بود و اندکی قبل از هک، سرویس پیامک آن ها غیرفعال و فورواردینگ فعال شد. شرایط نفوذ نیز مشخص نشده است. در سال 2019، اولگ کوزلوفسکی علیه MTS شکایت کرد، اما دادگاه آن را رد کرد.
مسئولیت محافظت از حساب های وب سرویس ها و برنامه های مختلف در برابر هک شدن بر عهده خود کاربر است. این موقعیت توسط اپراتورهای مخابراتی و خود رگولاتور مشترک است و بر اساس آن آنها از به اشتراک گذاشتن این خطرات با مشترکین خود خودداری می کنند.
RKN در پاسخ خود آن را اینگونه توصیف می کند:
"... طبق بند 2.11 شرایط MTS، برای اهداف شناسایی، به مشترکین اپراتور مخابراتی این امکان داده می شود که از یک کد کلمه - دنباله ای از نمادها (حروف، اعداد) که توسط مشترک مشخص شده است استفاده کنند. اپراتور، که برای شناسایی مشترک در هنگام اجرای قرارداد خدمت می کند. مشترک هم در هنگام انعقاد قرارداد (در این صورت در فرم توافق نامه به همراه جزئیات اجباری درج می شود) و هم در هر زمان در حین اجرای قرارداد امکان تنظیم کلمه رمز را دارد. با وجود این، مشترک Mironov A.K. کلمه کد قبل از اتصال مورد مناقشه سرویس تنظیم نشده است. در چنین شرایطی، تنها مشترک با ایجاد کلمه رمز در هنگام شناسایی با اپراتور مخابراتی میتوانست خطر عواقب نامطلوب چنین شرایطی را خنثی کند، اما از این فرصت استفاده نکرد.
بازیابی حساب کاربری. ماموریت غیرممکن
شکایتی در مورد عدم اقدام Roskomnadzor قبلاً در دادستانی ثبت شده است. این در حالی است که پلیس در قبال گزارش جنایت همچنان سکوت اختیار کرده است. هیچ کس در داخل شرکت نیز چیزی در مورد نتایج تحقیقات گزارش نمی کند. MTS هیچ گناهی را نمی پذیرد. هیچکس اهمیت نمیدهد. در همان زمان، VKontakte همچنان از مالک حساب برای بازگرداندن دسترسی به آن خودداری می کند تا زمانی که او از پلیس یک قطعنامه برای شروع یک پرونده جنایی مبنی بر ایجاد حقایق مشخص شده و نامه ای از MTS بیاورد که تأیید می کند که سرویس تغییر مسیر قابل اعتراض است. در نامه با توضیحات نسبتاً گسترده، همچنین این الزام وجود دارد که میرونوف باید گواهی از MTS نیز ارائه دهد که او تنها (و چه، در جایی، اپراتورها مالکیت مشترک شماره تلفن ها را ثبت می کنند؟) کاربر شماره تلفنی است که به آن پیوند داده شده است. صفحه. پاسخ در پایان هفته گذشته رسید و با توجه به بن بست وضعیت و عدم امکان توافق با VKontakte برای شش ماه، به دادگاه رفتیم.
چگونه از خود در برابر هک محافظت کنیم
مهاجمان همچنین می توانند از طریق آسیب پذیری های دیگر - پروتکل SS7 یا دریافت سیم کارت تکراری با کمک کارمندان اپراتور بی پروا، به مدیریت شماره تلفن دسترسی پیدا کنند.
SS7 یک پروتکل فنی است که توسط اپراتورهای مخابراتی استفاده می شود. این شامل قدیمی و ظاهرا غیر قابل جابجایی است ، که به شما امکان می دهد داده های ارسال شده توسط مشترکین را در طول تماس یا از طریق پیام کوتاه رهگیری کنید. فقط اپراتورها به SS7 دسترسی دارند، اما مهاجمان می توانند با خرید دسترسی در تاریک نت از اپراتورهای کشورهای توسعه نیافته یا از طریق کارمندان بی پروا اپراتورهای تلفن همراه، به آن دسترسی پیدا کنند. حمله زمانی رخ می دهد که مهاجم آدرس سیستم صورتحساب مشترک را به آدرس خود تغییر دهد. اغلب، مهاجمان به سیستم اطلاع می دهند که مشترک در رومینگ بین المللی است، بنابراین ساده ترین راه برای محافظت از خود این است که در صورت عدم استفاده از رومینگ بین المللی، رومینگ بین المللی را غیرفعال کنید.
الکسی میرونوف هنوز یک سیستم احراز هویت دو مرحله ای برای Vkontakte پیکربندی نکرده است. این تابع در VK در ژوئن 2014. شاید او بتواند از اکانت او در برابر هک شدن محافظت کند. شایان ذکر است که پیوند دادن یک حساب کاربری به یک شماره تلفن، احراز هویت دو مرحله ای نیست. - این محافظت از ورود به یک حساب است که علاوه بر رمز عبور، عمل دیگری انجام می شود. رایج ترین گزینه کد پیامکی است. این روش قابل اطمینان ترین نیست، زیرا مهاجمان می توانند پیام SMS را رهگیری کنند. گزینه های امن تر عبارتند از یک فایل کلید، کدهای موقت، یک برنامه تلفن همراه و یک توکن سخت افزاری.
متأسفانه، ما مجبوریم در عصری زندگی کنیم که تضمین امنیت داده ها به مشکل خود تبدیل می شود. آنها امیدوارند که اپراتورها به طور مستقل در صورت هک مسئولیت را بر عهده بگیرند، اما ظاهراً اینطور نیست. و همچنین تکیه بر Roskomnadzor، که مدتهاست از واقعیت در اقدامات حفاظت از داده خود جدا شده است. شکستن زره "مواد امتناع" افسر پلیس محلی که درخواست شما را در یک مورد مشابه دریافت می کند بسیار دشوار است، به خصوص برای یک فرد عادی که نمی داند این سیستم چگونه کار می کند. چه چیزی باقی می ماند؟ بهداشت دیجیتال را فراموش نکنید، به ریاضیات اعتماد کنید و از حقوق خود در دادگاه دفاع کنید.
منبع: www.habr.com