Des fraudeurs ont volé la page VKontakte de l'entrepreneur Alexey Mironov en raison d'une vulnérabilité dans le système d'identification des clients de MTS. Le réseau social ne l'a jamais restitué à son propriétaire et lui demande l'impossible. Maintenant, il poursuit VKontakte pour cela. Il est représenté par le Center for Digital Rights.
Alexey Mironov est le fondateur de la chaîne Jeffrey's Coffee. Il s'agit d'une franchise de cafés à Moscou et dans les régions. Alexey communiquait souvent avec ses collègues et partenaires sur VKontakte et y maintenait une page publique très populaire pour son réseau, comptant plus de 50 000 abonnés.
En novembre 2018, tôt le matin, alors qu'Alexey était en voyage d'affaires en Chine, sa page VKontakte a été piratée. Il a reçu des SMS de VKontakte, de WhatsApp et un message de l'opérateur MTS lui indiquant que le renvoi vers un autre numéro avait été mis en place. Alexey n'a pas configuré le transfert, alors il s'est immédiatement inquiété et a appelé MTS. Ils n’ont même pas immédiatement déterminé qu’il y avait effectivement une redirection. L’opérateur n’a pu l’éteindre que deux heures après l’appel d’Alexeï. MTS n'a jamais trouvé de données sur comment et quand le transfert a été activé.
Alexey a vérifié l'accès aux réseaux sociaux et aux messageries instantanées et a constaté qu'il ne pouvait plus s'y connecter avec son numéro de téléphone. Les pirates ont lié un autre numéro à ses comptes. Avec WhatsApp, le problème a été résolu rapidement. Immédiatement après l'annulation du transfert, le messager a rétabli l'accès au compte au propriétaire légitime.
Alexey a écrit au support VKontakte pour demander de rendre la page et a envoyé une photo de son passeport. Dans la soirée, il a reçu un SMS indiquant que la demande avait été rejetée, le propriétaire actuel ayant confirmé le droit d'accès.
Un spécialiste du support technique a déclaré qu'Alexey pouvait volontairement transférer l'accès à sa page à des tiers, afin qu'ils ne rétablissent pas son accès. Alexey a expliqué la situation du piratage, mais on lui a demandé d'envoyer une lettre de confirmation de MTS, dans laquelle l'opérateur confirmerait qu'un piratage avait eu lieu. Alexey a fourni une lettre de MTS. Après cela, l'administration de VKontakte a exigé que cette lettre soit certifiée par la police. Cette exigence est très difficile à remplir car la fonction de la police n'est pas de certifier les lettres et les pouvoirs du signataire. Alexey n'a pu bloquer la page piratée qu'en demandant personnellement aux employés de VKontakte qu'il en connaissait. La page n'a pas encore été renvoyée. La seule chose qu'Alexey a réussi à faire a été de bloquer son compte. Désormais, ni les escrocs ni lui-même ne peuvent l'utiliser.
Le service d'assistance VKontakte est une autre histoire. Seuls les utilisateurs autorisés peuvent contacter le service d'assistance VKontakte. Cela signifie que si vous perdez l'accès à votre page, vous devez en créer une nouvelle ou demander à vos amis de donner accès à leurs pages afin d'écrire en soutien. Alexey a correspondu avec les spécialistes du service d'assistance depuis la page de sa femme, et cela ne les a pas dérangés, bien que les contrats d'utilisation ne permettent pas de transférer l'identifiant et le mot de passe à quelqu'un d'autre.
Le piratage de la page et la perte supplémentaire de l’accès au compte et à la page publique ont évidemment porté atteinte à la fois à la réputation commerciale d’Alexeï et à ses intérêts immobiliers. Sans oublier que cela a permis à une quantité importante d’informations personnelles et commerciales de fuir vers des destinations inconnues. Les fraudeurs du compte de l’homme d’affaires ont demandé à ses amis de leur transférer de grosses sommes d’argent. Une personne leur a transféré 34 XNUMX roubles. Les attaquants ont eu accès aux informations personnelles du compte d’Alexey pendant XNUMX heures.
Poursuite contre VKontakte
Alexeï Mironov a déposé une plainte contre le réseau social VKontakte devant le tribunal du district Smolninsky de Saint-Pétersbourg et attend désormais l'attribution de l'affaire. Il demande au tribunal d'obliger le réseau social à respecter son propre accord, conclu sous la forme d'un contrat d'utilisation, et de lui restituer l'accès à sa page. À ce jour, l'administration de VKontakte continue de priver Alexey de l'accès à son compte de manière déraisonnable, alors qu'il a consciencieusement respecté les termes du contrat d'utilisation et a immédiatement informé le service d'assistance technique du réseau social du piratage. VKontakte a refusé de restaurer son accès à la page, citant une clause du contrat d'utilisation qui interdit aux utilisateurs de transférer leur identifiant et leur mot de passe de page à des tiers. L'agent d'assistance VKontakte avec qui Alexey a parlé a déclaré que vous ne pouvez configurer le transfert de numéro de téléphone qu'en vous rendant au bureau de l'opérateur et en présentant votre passeport. En fait, ce n’est pas le cas, et cela a été confirmé par Roskomnadzor en réponse à l’appel d’Alexeï.
Le réseau social, en violation des conditions d’utilisation, a limité de manière déraisonnable l’accès d’Alexey à l’utilisation de sa page. Il s'agit d'un refus unilatéral de remplir ses obligations, violant le paragraphe 1 de l'art. 30 Code civil de la Fédération de Russie. En le privant de l'accès à son compte, VK a également privé Alexey du droit d'administrer sa page publique, qui constitue pour lui un actif incorporel important. (Nous avons écrit sur le marché public en tant que nouvelle forme de propriété numérique et sur les particularités de la conclusion de transactions avec eux )
Des failles de sécurité dans le système d'identification MTS
La correspondance menée par les escrocs au nom de l'entrepreneur montre qu'ils étaient au courant de ses affaires et de son voyage d'affaires. Ils ont appelé le centre de contact MTS, ont pu s'identifier au nom d'Alexey et établir un renvoi d'appel. Les attaquants pourraient obtenir les données de son passeport grâce à l'ingénierie sociale. Alexey Mironov est le fondateur de la franchise, c'est pourquoi de nombreuses personnes impliquées dans l'ouverture d'établissements franchisés pourraient avoir ses informations de passeport. MTS a mené une enquête interne, mais n'a pas été en mesure de déterminer qui a exactement installé le transfert et comment l'attaquant a intercepté le SMS. L'entreprise n'a pas reconnu sa culpabilité, mais a en même temps offert à Alexey une compensation très étrange - 750 roubles.
Nous avons considéré que l'identification à distance d'un abonné uniquement à l'aide de données personnelles correctes est une pratique très douteuse et avons déposé une plainte auprès de Roskomnadzor pour vérifier la conformité de ce type de processus d'entreprise avec les exigences de la législation sur les données personnelles. En conséquence, Roskomnadzor s'est rangé du côté de MTS, soulignant que la gestion des services de communication après identification à distance par téléphone tout en fournissant des données personnelles correctes est tout à fait normale, et que l'établissement de méthodes de protection supplémentaires contre ce type d'actions non autorisées est un casse-tête pour l'abonné lui-même, et non l'entreprise . (lire la réponse complète - )
Le piratage du compte d'Alexeï Mironov n'est pas le premier cas d'accès non autorisé aux données des abonnés MTS. En 2018, la base de données de 500 mille abonnés À Novossibirsk, deux agresseurs, dont un employé de l'entreprise. Ils ont essayé de vendre la base de données au prix de 1 rouble pour les données d'un abonné.
En 2016, il y avait Récits télégraphiques des militants de l'opposition Georgy Alburov et Oleg Kozlovsky. Leurs comptes étaient liés à des numéros MTS et peu de temps avant le piratage, leur service SMS était désactivé et le transfert était activé. Les circonstances de l’effraction n’ont pas non plus été établies. En 2019, Oleg Kozlovsky a intenté une action en justice contre MTS, mais le tribunal l'a rejetée.
La protection des comptes de divers services et applications Web contre le piratage relève de la responsabilité de l'utilisateur lui-même. Cette position est partagée à la fois par les opérateurs télécoms et par le régulateur lui-même, selon lesquels ils refusent de partager ces risques avec leurs propres abonnés.
RKN le décrit ainsi dans sa réponse :
"... Conformément à la clause 2.11 des Conditions MTS, à des fins d'identification, les abonnés de l'opérateur télécom ont la possibilité d'utiliser un mot de code - une séquence de symboles (lettres, chiffres) spécifiés par l'abonné sous la forme établie par l'Opérateur, qui sert à identifier l'Abonné lors de l'exécution du Contrat. L'abonné a la possibilité de définir un mot de code aussi bien lors de la conclusion d'un contrat (dans ce cas, il est inscrit dans le formulaire de contrat avec les mentions obligatoires) qu'à tout moment pendant l'exécution du contrat. Malgré cela, l'abonné Mironov A.K. le mot de code n'a pas été défini avant la connexion contestée du service. Dans de telles circonstances, seul l'abonné, en établissant un mot de code lors de son identification auprès de l'opérateur télécom, pouvait neutraliser le risque de conséquences néfastes de telles situations, mais n'a pas profité de cette opportunité.
Récupération du compte. Mission impossible
Une plainte pour l'inaction de Roskomnadzor a déjà été déposée auprès du parquet. Pendant ce temps, la police continue de garder le silence sur le rapport du crime. Au sein de l’entreprise, personne ne communique non plus sur les résultats de l’enquête. MTS n'admet aucune culpabilité. Tout le monde s'en fout. Dans le même temps, VKontakte continue de refuser au titulaire du compte de restaurer l'accès à celui-ci jusqu'à ce qu'il apporte de la police une résolution pour ouvrir une procédure pénale établissant les faits spécifiés et une lettre de MTS, qui confirmera que le service de redirection est contestable. Dans la lettre avec des explications assez détaillées, il est également exigé que Mironov fournisse également un certificat de MTS attestant qu'il est le seul (et quoi, quelque part les opérateurs enregistrent la copropriété des numéros de téléphone ?) utilisateur du numéro de téléphone auquel il était lié. la page. La réponse est arrivée à la fin de la semaine dernière, et compte tenu de l'impasse de la situation et de l'impossibilité de parvenir à un accord avec VKontakte depuis maintenant six mois, nous avons saisi le tribunal.
Comment se protéger du piratage
Les attaquants peuvent également accéder à la gestion d'un numéro de téléphone via d'autres vulnérabilités - le protocole SS7 ou l'obtention d'un duplicata de carte SIM avec l'aide d'employés d'opérateurs sans scrupules.
SS7 est un protocole technique utilisé par les opérateurs télécoms. Il contient un ancien et apparemment inamovible , qui permet d'intercepter les données transmises par les abonnés lors d'un appel ou via SMS. Seuls les opérateurs ont accès à SS7, mais les attaquants peuvent l'obtenir en achetant l'accès au darknet auprès d'opérateurs de pays sous-développés ou par l'intermédiaire d'employés sans scrupules d'opérateurs mobiles. Une attaque se produit lorsqu'un attaquant modifie l'adresse du système de facturation de l'abonné par sa propre adresse. Le plus souvent, les attaquants informent le système que l'abonné est en itinérance internationale. Le moyen le plus simple de se protéger est donc de désactiver l'itinérance internationale si vous ne l'utilisez pas.
Alexey Mironov n'avait pas encore configuré de système d'authentification à deux facteurs pour Vkontakte. Cette fonction en VK en juin 2014. Peut-être pourrait-elle protéger son compte contre le piratage. Il convient de rappeler que le simple fait de lier un compte à un numéro de téléphone ne constitue pas une authentification à deux facteurs. — il s'agit de la protection de la connexion à un compte lorsqu'en plus du mot de passe, une autre action est effectuée. L'option la plus courante est un code SMS. Cette méthode n'est pas la plus fiable, car les attaquants peuvent intercepter le message SMS. Les options plus sécurisées sont un fichier clé, des codes temporaires, une application mobile et un jeton matériel.
Malheureusement, nous sommes obligés de vivre à une époque où assurer la sécurité des données devient notre propre problème. Ils espèrent que les opérateurs assumeront indépendamment la responsabilité en cas de piratage, mais apparemment ce n'est pas le cas. En plus de s'appuyer sur Roskomnadzor, qui a longtemps été déconnecté de la réalité dans ses pratiques en matière de protection des données. Il est incroyablement difficile de percer l'armure du « matériel de refus » d'un policier local qui recevra votre demande dans un cas similaire, surtout pour une personne ordinaire qui ne sait pas comment fonctionne ce système. Ce qui reste? N’oubliez pas l’hygiène numérique, faites confiance aux mathématiques et défendez vos droits devant les tribunaux.
Source: habr.com