Huijarit varastivat yrittäjä Aleksei Mironovin VKontakte-sivun MTS-asiakastunnistusjärjestelmän haavoittuvuuden vuoksi. Sosiaalinen verkosto ei ole koskaan palauttanut sitä omistajalleen ja vaatii häneltä mahdotonta. Nyt hän haastaa VKontakten oikeuteen tästä. Häntä edustaa Digitaalisten oikeuksien keskus.
Alexey Mironov on Jeffrey's Coffee -ketjun perustaja. Tämä on Moskovan ja alueiden kahviloiden franchising. Aleksei kommunikoi usein kollegoiden ja kumppaneiden kanssa VKontaktessa ja piti siellä erittäin suosittua julkista sivua verkostolleen, jolla oli yli 50 000 tilaajaa.
Marraskuussa 2018 varhain aamulla, kun Aleksei oli työmatkalla Kiinassa, hänen VKontakte-sivunsa hakkeroitiin. Hän sai tekstiviestiä VKontaktelta, WhatsAppilta ja viestin MTS-operaattorilta, jossa kerrottiin, että välitys toiseen numeroon oli asetettu. Aleksei ei määrittänyt edelleenlähetystä, joten hän huolestui välittömästi ja soitti MTS:lle. He eivät edes heti päättäneet, että uudelleenohjaus oli todellakin olemassa. Operaattori pystyi sammuttamaan sen vain kaksi tuntia Aleksein puhelun jälkeen. MTS ei koskaan löytänyt tietoja siitä, miten ja milloin edelleenlähetys aktivoitiin.
Aleksei tarkisti pääsyn sosiaalisiin verkostoihin ja pikaviestintäpalveluihin ja huomasi, ettei hän voinut enää kirjautua niihin puhelinnumerollaan. Hakkerit linkittivät toisen numeron hänen tileihinsä. WhatsAppilla ongelma ratkesi nopeasti. Välittömästi edelleenlähetyksen peruuttamisen jälkeen messenger palautti tilin käyttöoikeuden lailliselle omistajalle.
Aleksei kirjoitti VKontakten tukeen ja pyysi palauttamaan sivun ja lähetti kuvan passistaan. Illalla hän sai tekstiviestin, että hakemus hylättiin, koska nykyinen omistaja vahvisti käyttöoikeuden.
Teknisen tuen asiantuntija totesi, että Aleksei voisi vapaaehtoisesti siirtää pääsyn sivulleen kolmansille osapuolille, joten he eivät palauta hänen pääsyään. Aleksei selitti hakkerointitilanteen, mutta häntä pyydettiin lähettämään MTS:ltä vahvistuskirje, jossa operaattori vahvistaa hakkeroinnin tapahtuneen. Aleksei toimitti kirjeen MTS:ltä. Tämän jälkeen VKontakten hallinto vaati, että poliisi vahvistaa tämän kirjeen. Tätä vaatimusta on erittäin vaikea täyttää, koska poliisin tehtävänä ei ole vahvistaa kirjeitä ja allekirjoittajan valtakirjoja. Aleksei pystyi estämään hakkeroidun sivun vain pyytämällä henkilökohtaisesti VKontakten työntekijöitään tekemään niin. Sivua ei ole vielä palautettu. Ainoa asia, jonka Aleksei saavutti, oli hänen tilinsä estäminen. Nyt eivät huijarit tai hän itse voi käyttää sitä.
VKontakte-tukipalvelu on erilainen tarina. Vain valtuutetut käyttäjät voivat ottaa yhteyttä VKontakte-tukipalveluun. Tämä tarkoittaa, että jos menetät pääsyn sivullesi, sinun on luotava uusi tai pyydettävä ystäviäsi antamaan pääsy sivuilleen kirjoittaaksesi tukia. Aleksei oli kirjeenvaihdossa vaimonsa sivun tukipalvelun asiantuntijoiden kanssa, eikä tämä häirinnyt heitä, vaikka käyttäjäsopimus ei salli käyttäjätunnuksen ja salasanan siirtämistä jollekin toiselle.
Sivun hakkerointi ja edelleen pääsyn menetys tilille ja julkiselle sivulle vahingoitti ilmeisesti sekä Aleksein liikemainetta että hänen omaisuuttaan. Puhumattakaan siitä, että tämä mahdollisti huomattavan määrän henkilökohtaisia ja kaupallisia tietoja vuotamaan tuntemattomiin kohteisiin. Huijarit liikemiehen tililtä pyysivät hänen ystäviään siirtämään heille suuria summia. Yksi henkilö siirsi heille 34 tuhatta ruplaa. Hyökkääjillä oli pääsy henkilökohtaisiin tietoihin Alekseyn tililtä XNUMX tunnin ajan.
Oikeudenkäynti VKontaktea vastaan
Aleksei Mironov nosti kanteen sosiaalista verkostoa VKontaktea vastaan Pietarin Smolninskin käräjäoikeudessa ja odottaa nyt asian käsittelyä. Hän pyytää tuomioistuinta velvoittamaan sosiaalisen verkoston täyttämään omaa sopimustaan, joka on tehty käyttäjäsopimuksen muodossa, ja palauttamaan hänelle pääsyn sivulleen. VKontakte-hallinto on tähän päivään asti edelleen evännyt Alekseilta pääsyn tililleen kohtuuttomasti, samalla kun hän noudatti tunnollisesti käyttäjäsopimuksen ehtoja ja ilmoitti välittömästi sosiaalisen verkoston tekniselle tukipalvelulle hakkeroinnista. VKontakte kieltäytyi palauttamasta hänen pääsyään sivulle vedoten käyttösopimuksen lausekkeeseen, joka kieltää käyttäjiä siirtämästä sivun kirjautumistunnusta ja salasanaa kolmansille osapuolille. VKontakten tukiagentti, jonka kanssa Aleksei puhui, sanoi, että voit määrittää puhelinnumeron edelleenlähetyksen vain käymällä operaattorin toimistossa ja esittämällä passi. Itse asiassa näin ei ole, ja Roskomnadzor vahvisti tämän vastauksena Aleksein valitukseen.
Sosiaalinen verkosto, rikkoen käyttösopimusta, rajoitti kohtuuttomasti Aleksein pääsyä sivunsa käyttöön. Tämä on yksipuolinen kieltäytyminen velvollisuuksien täyttämisestä, mikä rikkoo artiklan 1 kohtaa. 30 Venäjän federaation siviililaki. Estämällä häneltä pääsyn tiliinsä VK riisti Alekseilta myös oikeudet hallita julkista sivuaan, joka on hänelle tärkeä aineeton omaisuus. (Kirjoitimme julkisista markkinoista digitaalisen omaisuuden uudeksi muotoksi ja niiden kanssa kaupantekoprosessin erityispiirteistä )
Turva-aukot MTS-tunnistusjärjestelmässä
Huijaajien yrittäjän puolesta pitämä kirjeenvaihto osoittaa, että he tiesivät hänen työ- ja työmatkastaan. He soittivat MTS-yhteyskeskukseen, pystyivät tunnistamaan itsensä Aleksein puolesta ja määrittämään soitonsiirron. Hyökkääjät saattoivat saada hänen passinsa sosiaalisen manipuloinnin avulla. Aleksei Mironov on franchising-yhtiön perustaja, joten monilla franchising-yritysten avaamiseen osallistuvilla henkilöillä voisi olla hänen passitietonsa. MTS suoritti sisäisen tutkinnan, mutta ei pystynyt selvittämään, kuka tarkalleen asensi edelleenlähetyksen ja kuinka hyökkääjä sieppasi tekstiviestin. Yritys ei tunnustanut syyllisyyttä, mutta tarjosi samalla Alekseille erittäin oudon korvauksen - 750 ruplaa.
Katsoimme, että tilaajan etätunnistaminen vain oikeita henkilötietoja käyttäen on erittäin kyseenalainen käytäntö ja teimme valituksen Roskomnadzorille varmistaakseen, että tällainen yritysprosessi on henkilötietolainsäädännön vaatimusten mukainen. Tämän seurauksena Roskomnadzor asettui MTS:n puolelle huomauttaen, että viestintäpalvelujen hallinta etätunnistuksen jälkeen puhelimitse ja samalla oikeat henkilötiedot on aivan normaalia, ja lisäsuojausmenetelmien luominen tällaisilta luvattomilta toimilta on päänsärky tilaajalle itselleen, ei yritys. (lue koko vastaus - )
Aleksei Mironovin tilin hakkerointi ei ole ensimmäinen tapaus luvatta pääsystä MTS-tilaajatietoihin. Vuonna 2018 tietokanta 500 tuhatta tilaajaa Novosibirskissä kaksi hyökkääjää, joista toinen oli yrityksen työntekijä. He yrittivät myydä tietokannan hintaan 1 rupla yhden tilaajan tiedoista.
Vuonna 2016 niitä oli Oppositioaktivistien Georgi Alburovin ja Oleg Kozlovskyn sähketilit. Heidän tilinsä linkitettiin MTS-numeroihin, ja vähän ennen hakkerointia heidän tekstiviestipalvelunsa poistettiin käytöstä ja edelleenlähetys otettiin käyttöön. Myöskään murtautumisen olosuhteita ei voitu selvittää. Vuonna 2019 Oleg Kozlovsky nosti kanteen MTS:ää vastaan, mutta tuomioistuin hylkäsi sen.
Eri verkkopalveluiden ja -sovellusten tilien suojaaminen hakkeroinnilta on käyttäjän omalla vastuulla. Tämän kannan jakavat sekä teleyritykset että itse sääntelyviranomainen, jonka mukaan ne kieltäytyvät jakamasta riskejä omien tilaajiensa kanssa.
RKN kuvailee sitä vastauksessaan näin:
"... MTS-ehtojen kohdan 2.11 mukaan teleyrityksen tilaajille annetaan tunnistamista varten mahdollisuus käyttää koodisanaa - Tilaajan määrittelemää symbolisarjaa (kirjaimia, numeroita) Operaattori, jonka tehtävänä on tunnistaa Tilaaja sopimusta solmittaessa. Tilaajalla on mahdollisuus asettaa koodisana sekä sopimusta tehdessään (tässä tapauksessa se kirjataan sopimuslomakkeeseen pakollisten tietojen kanssa) että milloin tahansa sopimuksen täytäntöönpanon aikana. Tästä huolimatta tilaaja Mironov A.K. koodisanaa ei asetettu ennen kiistanalaista palvelun yhteyttä. Tällaisissa olosuhteissa vain tilaaja, luomalla koodisanan tunnistautuessaan teleyrityksen kanssa, pystyi neutraloimaan tällaisten tilanteiden haitallisten seurausten riskin, mutta ei käyttänyt tätä mahdollisuutta hyväkseen."
Tilin palautus. Mahdoton tehtävä
Roskomnadzorin toimimattomuudesta on jo tehty valitus syyttäjälle. Samaan aikaan poliisi vaikenee rikosilmoituksesta. Kukaan ei myöskään ilmoita yrityksen sisällä mitään tutkimuksen tuloksista. MTS ei tunnusta syyllisyyttään. Kukaan ei välitä. Samanaikaisesti VKontakte kieltäytyy edelleen tilin omistajalta palauttamasta pääsyä siihen, kunnes hän tuo poliisilta Päätös rikosasian aloittamisesta, jossa määritetään määritellyt tosiasiat, ja MTS:n kirje, joka vahvistaa uudelleenohjauspalvelun kiistanalaisen. Varsin laajoja selityksiä sisältävässä kirjeessä vaaditaan myös, että Mironovin on toimitettava myös MTS:n todistus siitä, että hän on linkitetyn puhelinnumeron ainoa (ja mitä, jossain operaattorit rekisteröivät puhelinnumeroiden yhteisomistuksen?) sivulle. Vastaus saapui viime viikon lopulla, ja koska tilanne oli umpikujassa ja mahdottomuus päästä sopimukseen VKontakten kanssa nyt kuuden kuukauden ajan, menimme oikeuteen.
Kuinka suojautua hakkeroinnista
Hyökkääjät voivat myös saada pääsyn puhelinnumeron hallintaan muiden haavoittuvuuksien kautta - SS7-protokollan tai SIM-kortin kaksoiskappaleen hankkimiseen häikäilemättömien operaattorin työntekijöiden avulla.
SS7 on teleoperaattoreiden käyttämä tekninen protokolla. Siinä on vanha ja ilmeisesti irrotettava , jonka avulla voit siepata tilaajien puhelun aikana tai tekstiviestinä lähettämiä tietoja. Vain operaattoreilla on pääsy SS7:ään, mutta hyökkääjät voivat hankkia sen ostamalla pääsyn darknetiin alikehittyneiden maiden operaattoreilta tai matkapuhelinoperaattoreiden häikäilemättömien työntekijöiden kautta. Hyökkäys tapahtuu, kun hyökkääjä muuttaa tilaajan laskutusjärjestelmän osoitteen omaksi osoitteekseen. Useimmiten hyökkääjät ilmoittavat järjestelmälle, että tilaaja on kansainvälisessä verkkovierailussa, joten helpoin tapa suojautua on poistaa kansainvälinen verkkovierailu käytöstä, jos et käytä sitä.
Aleksei Mironovilla ei vielä ollut kaksivaiheista todennusjärjestelmää määritettynä Vkontaktelle. Tämä toiminto VK:ssa kesäkuussa 2014. Ehkä hän voisi suojata hänen tilinsä hakkeroitumiselta. On syytä muistaa, että pelkkä tilin linkittäminen puhelinnumeroon ei ole kaksivaiheista todennusta. — tämä on tilille kirjautumisen suojaus, kun salasanan lisäksi suoritetaan jokin muu toiminto. Yleisin vaihtoehto on tekstiviestikoodi. Tämä menetelmä ei ole luotettavin, koska hyökkääjät voivat siepata tekstiviestin. Turvallisempia vaihtoehtoja ovat avaintiedosto, väliaikaiset koodit, mobiilisovellus ja laitteistotunnus.
Valitettavasti joudumme elämään aikakautta, jolloin tietoturvan varmistamisesta tulee oma ongelmamme. He toivovat, että operaattorit kantavat itsenäisesti vastuun hakkeroinnin sattuessa, mutta ilmeisesti näin ei ole. Sekä luottaa Roskomnadzoriin, joka on jo pitkään eronnut todellisuudesta tietosuojakäytännöissään. Hakemuksesi vastaavassa tapauksessa vastaanottavan paikallisen poliisin "hylkäysmateriaalin" haarniskasta on uskomattoman vaikea murtautua, varsinkin tavalliselle ihmiselle, joka ei tiedä, miten tämä järjestelmä toimii. Mitä on jäljellä? Älä unohda digitaalista hygieniaa, luota matematiikkaan ja puolusta oikeuksiasi tuomioistuimessa.
Lähde: will.com