Fraudeurs stielen de VKontakte-side fan ûndernimmer Alexey Mironov fanwege in kwetsberens yn it MTS-klantidentifikaasjesysteem. It sosjale netwurk hat it noait weromjûn oan har eigener en easket it ûnmooglike fan him. No hy suing VKontakte foar dit. Hy wurdt fertsjintwurdige troch it Centre for Digital Rights.
Alexey Mironov is de oprjochter fan 'e Jeffrey's Coffee-keten. Dit is in franchise fan coffeeshops yn Moskou en de regio. Alexey faak kommunisearre mei kollega's en partners op VKontakte en ûnderhâlden in tige populêre iepenbiere side foar syn netwurk dêr, nûmere mear as 50 abonnees.
Yn novimber 2018, moarns betiid, doe't Alexey op in saaklike reis yn Sina wie, waard syn VKontakte-side hackt. Hy krige SMS fan VKontakte, WhatsApp en in berjocht fan 'e MTS-operator, dy't sei dat it trochstjoeren nei in oar nûmer ynsteld is. Alexey hat gjin trochstjoering ynsteld, dus hy waard fuortendaliks soargen en rôp MTS. Se hawwe net iens daliks fêststeld dat der wol in trochferwizing wie. De operator koe it mar twa oeren nei de oprop fan Alexey útsette. MTS hat noait gegevens fûn oer hoe en wannear't it trochstjoeren is aktivearre.
Alexey kontrolearre tagong ta sosjale netwurken en instant messengers en seach dat hy net mear by har oanmelde koe mei syn telefoannûmer. De hackers keppelen in oar nûmer oan syn akkounts. Mei WhatsApp waard it probleem rap oplost. Fuort nei it annulearjen fan it trochstjoeren herstelde de boadskipper tagong ta it akkount oan de rjochtmjittige eigner.
Alexey skreau oan VKontakte-stipe en frege om de side werom te jaan en stjoerde in foto fan syn paspoart. Jûns krige hy in sms dat de oanfraach ôfwiisd waard, om't de hjoeddeistige eigner it rjocht fan tagong befêstige.
In spesjalist foar technyske stipe stelde dat Alexey frijwillich tagong ta syn side koe oerdrage oan tredden, sadat se syn tagong net werstelle. Alexey ferklearre de hacking-situaasje, mar hy waard frege om in befêstigingsbrief fan MTS te stjoeren, wêryn de operator befestigje soe dat in hack bard wie. Alexey levere in brief fan MTS. Dêrnei easke de administraasje fan VKontakte dat dizze brief wurdt sertifisearre troch de plysje. Dizze eask is heul lestich om te foldwaan, om't it net de funksje fan 'e plysje is om brieven en de bewiisbrieven fan' e ûndertekener te sertifisearje. Alexey koe blokkearje de hacked side allinnich troch persoanlik freegje VKontakte meiwurkers hy wist oer it. De side is noch net weromjûn. It iennichste wat Alexey berikte wie it blokkearjen fan syn akkount. No kinne oplichters noch hy sels it brûke.
VKontakte stipe tsjinst is in oar ferhaal. Allinich autorisearre brûkers kinne kontakt opnimme mei de VKontakte-stipe tsjinst. Dit betsjut dat as jo tagong ferlieze ta jo side, jo in nije moatte oanmeitsje of jo freonen freegje tagong te jaan ta har siden om te skriuwen as stipe. Alexey korrespondearre mei spesjalisten fan stipetsjinsten fan 'e side fan syn frou, en dit stoarde har net, hoewol de brûkersoerienkomst net tastean it oerdragen fan de oanmelding en wachtwurd oan in oar.
De hacking fan 'e side en fierder ferlies fan tagong ta it akkount en de iepenbiere side hawwe fansels skea oan sawol de saaklike reputaasje fan Alexey as syn eigendomsbelangen. Net te ferjitten dat dit in wichtige hoemannichte persoanlike en kommersjele ynformaasje koe lekke nei ûnbekende bestimmingen. Oplichters fan de rekken fan de sakeman fregen syn freonen om harren grutte sommen jild oer te dragen. Ien persoan oerdroegen se 34 tûzen roebel. De oanfallers hiene tagong ta persoanlike ynformaasje fan Alexey's akkount foar XNUMX oeren.
Rjochtsaak tsjin VKontakte
Alexey Mironov yntsjinne in rjochtsaak tsjin it sosjale netwurk VKontakte yn it Smolninsky District Court fan Sint-Petersburch en wachtet no op opdracht fan 'e saak. Hy freget de rjochtbank om it sosjale netwurk te ferplichtsjen om syn eigen oerienkomst te foldwaan, sletten yn 'e foarm fan in brûkersoerienkomst, en him tagong werom te jaan ta syn side. Oant hjoed de dei bliuwt de administraasje fan VKontakte Alexei ûnferstannich de tagong ta syn akkount te ûntnimmen, wylst hy de betingsten fan 'e brûkersoerienkomst konsjinsjeuze foldien hat en fuortendaliks de technyske stipetsjinst fan it sosjale netwurk ynformearre oer de hack. VKontakte wegere syn tagong ta de side te herstellen, mei oanwizen fan in klausule yn 'e Brûkersoerienkomst dy't brûkers ferbiedt om har side-login en wachtwurd oer te jaan oan tredden. De stipe-agint fan VKontakte, mei wa't Alexey spriek, sei dat jo it trochstjoeren fan tillefoannûmers allinich kinne ynstelle troch it kantoar fan 'e operator te besykjen en jo paspoart te presintearjen. Yn feite is dit net it gefal, en dit waard befêstige troch Roskomnadzor yn antwurd op Alexey syn berop.
It sosjale netwurk, yn striid mei de brûkersoerienkomst, beheine ûnferstannich de tagong fan Alexey ta it brûken fan syn side. Dit is in iensidich wegering om ferplichtingen te ferfoljen, yn striid mei paragraaf 1 fan Art. 30 Boargerlik Wetboek fan 'e Russyske Federaasje. Troch him de tagong ta syn akkount te ûntnimmen, ûntsloech VK ek Alexey fan 'e rjochten om syn iepenbiere side te behearjen, wat in wichtige ymmateriële besitting foar him is. (Wy skreaunen oer de iepenbiere merk as in nije foarm fan digitaal eigendom en de eigenaardichheden fan it sluten fan transaksjes mei har )
Feiligens gatten yn it MTS-identifikaasjesysteem
De korrespondinsje troch de oplichters út namme fan de ûndernimmer docht bliken dat se wisten fan syn saaklike en saaklike reis. Se bellen it MTS kontaktsintrum, koene har identifisearje út namme fan Alexey en sette oprop trochstjoere op. Oanfallers koene syn paspoartgegevens krije fia sosjale technyk. Alexey Mironov is de oprjochter fan 'e franchise, sadat in protte minsken belutsen by it iepenjen fan franchise-ynstellings syn paspoartynformaasje kinne hawwe. MTS die in ynterne ûndersyk, mar koe net bepale wa't de trochstjoering krekt ynstallearre hat en hoe't de oanfaller de SMS ûnderskepte. It bedriuw joech gjin skuld, mar tagelyk oanbean Alexei in hiel nuvere kompensaasje - 750 roebel.
Wy beskôgen dat it identifisearjen fan in abonnee op ôfstân allinich mei juste persoanlike gegevens in heul dubieuze praktyk is en skreaunen in klacht oan Roskomnadzor om de konformiteit fan dit soarte bedriuwsproses te kontrolearjen mei de easken fan 'e wetjouwing oer persoanlike gegevens. As resultaat stie Roskomnadzor oan 'e kant fan MTS, en wiisde op dat it behearen fan kommunikaasjetsjinsten nei identifikaasje op ôfstân fia tillefoan by it leverjen fan juste persoanlike gegevens frij normaal is, en it fêststellen fan ekstra metoaden foar beskerming tsjin dit soarte fan net autorisearre aksjes in kopke is foar de abonnee sels, net it bedriuw . (lês it folsleine antwurd - )
De hacking fan it akkount fan Alexey Mironov is net it earste gefal fan unautorisearre tagong ta MTS-abonneegegevens. Yn 2018, de databank fan 500 tûzen abonnees yn Novosibirsk twa oanfallers, ien fan wa wie in bedriuw meiwurker. Se besochten de databank te ferkeapjen foar in priis fan 1 roebel foar de gegevens fan ien abonnee.
Yn 2016 wiene der Telegram akkounts fan opposysje aktivisten Georgy Alburov en Oleg Kozlovsky. Harren akkounts wiene keppele oan MTS-nûmers, en koart foar de hack waard har SMS-tsjinst útskeakele en trochstjoeren ynskeakele. Ek de omstannichheden fan de ynbraak binne net fêstlein. Yn 2019 die Oleg Kozlovsky in rjochtsaak oan tsjin MTS, mar de rjochtbank wegere it.
It beskermjen fan akkounts fan ferskate webtsjinsten en applikaasjes tsjin hacking is de ferantwurdlikens fan 'e brûker sels. Dizze posysje wurdt dield troch sawol telekom-operators as de regulator sels, neffens hokker se wegerje dizze risiko's te dielen mei har eigen abonnees.
RKN beskriuwt it sa yn har reaksje:
"... Neffens klausule 2.11 fan 'e MTS-betingsten, foar identifikaasjedoelen, wurde abonnees fan' e telekomoperator de kâns jûn om in koadewurd te brûken - in folchoarder fan symboalen (letters, sifers) spesifisearre troch de abonnee yn 'e foarm fêststeld troch de operator, dy't tsjinnet om de abonnee te identifisearjen by it útfieren fan de oerienkomst. De abonnee hat de mooglikheid om in koadewurd yn te stellen sawol by it sluten fan in oerienkomst (yn dit gefal wurdt it ynfierd yn it oerienkomstformulier tegearre mei de ferplichte details) en op elk momint by de útfiering fan 'e oerienkomst. Nettsjinsteande dit, abonnee Mironov A.K. it koade wurd waard net ynsteld foar de betwiste ferbining fan de tsjinst. Under sokke omstannichheden koe allinnich de abonnee, troch it fêststellen fan in koadewurd by identifikaasje mei de telekomoperator, it risiko fan negative gefolgen fan sokke situaasjes neutralisearje, mar hat dizze kâns net benut.
Account herstel. Mission ûnmooglik
Der is al in klacht yntsjinne by it ministearje fan justysje oer it net hanneljen fan Roskomnadzor. Yntusken bliuwt de plysje stil oer it misdriuwrapport. Ek binnen it bedriuw meldt nimmen wat oer de útkomsten fan it ûndersyk. MTS jout gjin skuld ta. Nimmen makket it út. Tagelyk bliuwt VKontakte de akkounteigner wegerje om tagong ta it te herstellen, oant hy fan 'e plysje in resolúsje bringt om in strafsaak te begjinnen dy't de spesifisearre feiten fêststelle en in brief fan MTS, dy't sil befêstigje dat de omliedingstsjinst bestriden is. Yn 'e brief mei frij wiidweidige taljochtingen is ek in eask dat Mironov ek in sertifikaat fan MTS leverje moat dat hy de ienige (en wat, earne registrearje operators mienskiplik eigendom fan tillefoannûmers?) brûker fan it tillefoannûmer dat keppele wie oan de side. It antwurd kaam oan 'e ein fan ferline wike, en sjoen de deadlock yn' e situaasje en de ûnmooglikheid fan it berikken fan in oerienkomst mei VKontakte foar seis moanne no, wy gongen nei de rjochtbank.
Hoe kinne jo josels beskermje tsjin hacking
Oanfallers kinne ek tagong krije ta it behearen fan in telefoannûmer fia oare kwetsberens - it SS7-protokol of it krijen fan in dûbele SIM-kaart mei help fan gewetenloze operatormeiwurkers.
SS7 is in technysk protokol dat wurdt brûkt troch telekomoperators. It befettet in âlde en blykber unremovable , wêrmei jo gegevens kinne ûnderskeppe dy't troch abonnees oerbrocht binne tidens in oprop of fia SMS. Allinich operators hawwe tagong ta SS7, mar oanfallers kinne it krije troch tagong te keapjen op it darknet fan operators yn ûnderûntwikkele lannen of troch gewetenloze meiwurkers fan mobile operators. In oanfal bart as in oanfaller it adres fan it fakturesysteem fan de abonnee feroaret yn syn eigen adres. Meastentiids ynformearje oanfallers it systeem dat de abonnee yn ynternasjonale roaming is, dus de maklikste manier om josels te beskermjen is ynternasjonale roaming út te skeakeljen as jo it net brûke.
Alexey Mironov hie noch gjin twa-faktor autentikaasjesysteem konfigureare foar Vkontakte. Dizze funksje yn VK yn juny 2014. Miskien koe se syn akkount beskermje tsjin hacking. It is de muoite wurdich om te ûnthâlden dat it gewoan keppeljen fan in akkount oan in telefoannûmer gjin twa-faktor autentikaasje is. - dit is de beskerming fan oanmelde by in akkount as, neist it wachtwurd, in oare aksje wurdt útfierd. De meast foarkommende opsje is in SMS-koade. Dizze metoade is net de meast betroubere, om't oanfallers it SMS-berjocht kinne ûnderskeppe. Mear feilige opsjes binne in kaaitriem, tydlike koades, in mobile applikaasje en in hardware token.
Spitigernôch binne wy twongen om te libjen yn in tiidrek dêr't it garandearjen fan gegevensfeiligens ús eigen probleem wurdt. Se hoopje dat operators selsstannich ferantwurdlikens drage yn gefal fan in hack, mar blykber is dit net it gefal. Lykas fertrouwe op Roskomnadzor, dy't al lang skieden is fan 'e realiteit yn har praktyk foar gegevensbeskerming. It is ongelooflijk lestich om te brekken troch it pânser fan it "weigering materiaal" fan de pleatslike plysjeman dy't sil ûntfange jo oanfraach yn in ferlykbere saak, benammen foar in gewoane persoan dy't net wit hoe't dit systeem wurket. Wat bliuwt der oer? Ferjit net oer digitale hygiëne, fertrou wiskunde en ferdigenje jo rjochten yn 'e rjochtbank.
Boarne: www.habr.com