Os estafadores roubaron a páxina VKontakte do empresario Alexey Mironov debido a unha vulnerabilidade no sistema de identificación de clientes MTS. A rede social nunca llo devolveu ao seu propietario e esíxelle o imposible. Agora está demandando a VKontakte por isto. Está representado polo Centro de Dereitos Dixitais.
Alexey Mironov é o fundador da cadea Jeffrey's Coffee. Esta é unha franquía de cafeterías en Moscova e nas rexións. Alexey comunicábase a miúdo con compañeiros e socios en VKontakte e mantivo alí unha páxina pública moi popular para a súa rede, que contaba con máis de 50 subscritores.
En novembro de 2018, á primeira hora da mañá, cando Alexey estaba nunha viaxe de negocios en China, a súa páxina de VKontakte foi pirateada. Recibiu SMS de VKontakte, WhatsApp e unha mensaxe do operador MTS, que dicía que estaba configurado o reenvío a outro número. Alexey non configurou o reenvío, polo que inmediatamente se preocupou e chamou a MTS. Nin sequera determinaron de inmediato que efectivamente había unha redirección. O operador puido desactivalo só dúas horas despois da chamada de Alexey. MTS nunca atopou datos sobre como e cando se activou o reenvío.
Alexey comprobou o acceso ás redes sociais e á mensaxería instantánea e viu que xa non podía iniciar sesión nelas usando o seu número de teléfono. Os hackers vincularon outro número ás súas contas. Con WhatsApp o problema resolveuse rapidamente. Inmediatamente despois de cancelar o reenvío, o mensaxeiro restableceu o acceso á conta ao propietario lexítimo.
Alexey escribiu ao soporte de VKontakte pedindo devolver a páxina e enviou unha foto do seu pasaporte. Pola noite recibiu un SMS de que a solicitude era rexeitada, xa que o actual propietario confirmou o dereito de acceso.
Un especialista en soporte técnico afirmou que Alexey podería transferir voluntariamente o acceso á súa páxina a terceiros, polo que non restaurarán o seu acceso. Alexey explicou a situación do pirateo, pero pedíronlle que enviara unha carta de confirmación de MTS, na que o operador confirmaría que se produciu un hackeo. Alexey proporcionou unha carta de MTS. Despois diso, a administración de VKontakte esixiu que esta carta fose certificada pola policía. Este requisito é moi difícil de cumprir porque non é función da policía certificar as cartas e as credenciais do asinante. Alexey só puido bloquear a páxina pirateada preguntando persoalmente aos empregados de VKontakte que o sabía. Aínda non se devolveu a páxina. O único que logrou Alexey foi bloquear a súa conta. Agora nin os estafadores nin el mesmo poden usalo.
O servizo de asistencia de VKontakte é unha historia diferente. Só os usuarios autorizados poden contactar co servizo de asistencia de VKontakte. Isto significa que se perdes o acceso á túa páxina, debes crear unha nova ou pedir aos teus amigos que dean acceso ás súas páxinas para poder escribir en apoio. Alexey mantivo unha correspondencia con especialistas do servizo de soporte da páxina da súa muller, e isto non lles molestou, aínda que o Contrato de usuario non permite transferir o inicio de sesión e o contrasinal a outra persoa.
O pirateo da páxina e a perda de acceso á conta e á páxina pública obviamente danaron tanto a reputación comercial de Alexey como os seus intereses de propiedade. Sen esquecer que isto permitiu filtrar unha cantidade importante de información persoal e comercial a destinos descoñecidos. Os defraudadores da conta do empresario pedíronlles aos seus amigos que lles transferisen grandes cantidades de diñeiro. Unha persoa trasladoulles 34 mil rublos. Os atacantes tiveron acceso á información persoal da conta de Alexey durante XNUMX horas.
Demanda contra VKontakte
Alexey Mironov presentou unha demanda contra a rede social VKontakte no Tribunal de Distrito de Smolninsky de San Petersburgo e agora está á espera da asignación do caso. Solicita ao xulgado que obrigue á rede social a cumprir o seu propio acordo, celebrado en forma de Contrato de Usuario, e lle devolva o acceso á súa páxina. Ata o día de hoxe, a administración de VKontakte segue privando a Alexey de acceso á súa conta sen razón, mentres cumpriu concienzudamente os termos do Contrato de usuario e informou de inmediato ao servizo de asistencia técnica da rede social sobre o hackeo. VKontakte rexeitou restaurar o seu acceso á páxina, citando unha cláusula no Contrato de usuario que prohibe aos usuarios transferir o seu inicio de sesión e contrasinal a terceiros. O axente de asistencia de VKontakte co que falou Alexey afirmou que só pode configurar o reenvío de números de teléfono visitando a oficina do operador e presentando o seu pasaporte. De feito, este non é o caso, e iso foi confirmado por Roskomnadzor en resposta á apelación de Alexey.
A rede social, en violación do Acordo de Usuario, limitou de forma irrazonable o acceso de Alexey ao uso da súa páxina. Trátase dunha negativa unilateral ao cumprimento das obrigas, violando o parágrafo 1 do art. 30 Código Civil da Federación Rusa. Ao privarlle de acceso á súa conta, VK tamén privou a Alexey dos dereitos de administrar a súa páxina pública, que é un importante activo inmaterial para el. (Escribimos sobre o mercado público como unha nova forma de propiedade dixital e as peculiaridades de realizar transaccións con eles )
Buracos de seguridade no sistema de identificación MTS
A correspondencia realizada polos estafadores en nome do empresario demostra que sabían da súa viaxe de negocios e de negocios. Chamaron ao centro de contacto MTS, puideron identificarse en nome de Alexey e configurar o desvío de chamadas. Os atacantes podían obter os datos do seu pasaporte a través da enxeñería social. Alexey Mironov é o fundador da franquía, polo que moitas persoas implicadas na apertura de establecementos de franquía poderían ter a información do seu pasaporte. MTS realizou unha investigación interna, pero non puido determinar quen instalou exactamente o reenvío e como o atacante interceptou o SMS. A empresa non admitiu a súa culpa, pero ao mesmo tempo ofreceu a Alexey unha compensación moi estraña: 750 rublos.
Consideramos que identificar a un subscritor de forma remota só utilizando datos persoais correctos é unha práctica moi dubidosa e escribimos unha reclamación a Roskomnadzor para verificar o cumprimento deste tipo de proceso da empresa cos requisitos da lexislación sobre datos persoais. Como resultado, Roskomnadzor púxose do lado de MTS, sinalando que xestionar servizos de comunicación despois da identificación remota por teléfono mentres se proporcionan datos persoais correctos é bastante normal, e establecer métodos adicionais de protección contra este tipo de accións non autorizadas é unha dor de cabeza para o propio subscritor, non a empresa. (le a resposta completa - )
O pirateo da conta de Alexey Mironov non é o primeiro caso de acceso non autorizado aos datos dos subscritores de MTS. En 2018, a base de datos de 500 mil subscritores en Novosibirsk dous atacantes, un dos cales era un empregado da empresa. Intentaron vender a base de datos a un prezo de 1 rublo polos datos dun abonado.
En 2016 houbo Contas de Telegram dos activistas da oposición Georgy Alburov e Oleg Kozlovsky. As súas contas estaban ligadas a números MTS e, pouco antes do pirateo, o seu servizo de SMS desactivouse e habilitouse o reenvío. Tampouco se estableceron as circunstancias do robo. En 2019, Oleg Kozlovsky presentou unha demanda contra MTS, pero o tribunal rexeitouna.
A protección das contas de varios servizos e aplicacións web contra a piratería é responsabilidade do propio usuario. Esta posición é compartida tanto polos operadores de telecomunicacións como polo propio regulador, segundo o cal se negan a compartir estes riscos cos seus propios abonados.
RKN descríbeo deste xeito na súa resposta:
"... Segundo a cláusula 2.11 das Condicións MTS, para fins de identificación, os abonados do operador de telecomunicacións teñen a oportunidade de usar unha palabra en código: unha secuencia de símbolos (letras, números) especificada polo abonado no formulario establecido por o Operador, que serve para identificar ao Abonado ao executar o Contrato. O subscritor ten a oportunidade de establecer unha palabra de código tanto ao concluír un acordo (neste caso insírese no formulario de acordo cos datos obrigatorios) como en calquera momento durante a execución do contrato. A pesar diso, o subscritor Mironov A.K. a palabra de código non se estableceu antes da conexión disputada do servizo. En tales circunstancias, só o abonado, ao establecer unha palabra clave durante a identificación co operador de telecomunicacións, podería neutralizar o risco de consecuencias adversas derivadas de tales situacións, pero non aproveitou esta oportunidade.
Recuperación da conta. Misión imposible
Xa se presentou unha denuncia pola inacción de Roskomnadzor ante a fiscalía. Mentres, a policía segue gardando silencio sobre o informe do crime. Ninguén denuncia nada dentro da empresa tampouco sobre os resultados da investigación. MTS non admite ningunha culpa. A ninguén lle importa. Ao mesmo tempo, VKontakte segue rexeitando ao propietario da conta restablecer o acceso a ela ata que traia da policía unha Resolución para iniciar un proceso penal que estableza os feitos especificados e unha carta de MTS, que confirmará que o servizo de redirección é impugnable. Na carta con explicacións bastante extensas, tamén existe un requisito de que Mironov tamén debe proporcionar un certificado de MTS de que é o único usuario (e que, nalgún lugar, os operadores rexistran a propiedade conxunta dos números de teléfono?) do número de teléfono que estaba ligado. a páxina. A resposta chegou a finais da semana pasada, e ante o estancamento da situación e a imposibilidade de chegar a un acordo con VKontakte dende hai seis meses, acudimos aos tribunais.
Como protexerse do hackeo
Os atacantes tamén poden acceder a xestionar un número de teléfono a través doutras vulnerabilidades: o protocolo SS7 ou a obtención dunha tarxeta SIM duplicada coa axuda de empregados sen escrúpulos do operador.
SS7 é un protocolo técnico utilizado polos operadores de telecomunicacións. Contén un antigo e aparentemente inamovible , que permite interceptar os datos transmitidos polos subscritores durante unha chamada ou mediante SMS. Só os operadores teñen acceso a SS7, pero os atacantes poden obtelo comprando acceso na darknet a operadores de países subdesenvolvidos ou a través de empregados sen escrúpulos de operadores móbiles. Un ataque ocorre cando un atacante cambia o enderezo do sistema de facturación do abonado polo seu propio enderezo. Na maioría das veces, os atacantes informan ao sistema de que o abonado está en itinerancia internacional, polo que o xeito máis sinxelo de protexerse é desactivar a itinerancia internacional se non o utilizas.
Alexey Mironov aínda non tiña un sistema de autenticación de dous factores configurado para Vkontakte. Esta función en VK en xuño de 2014. Quizais podería protexer a súa conta de ser pirateada. Paga a pena lembrar que simplemente ligar unha conta a un número de teléfono non é unha autenticación de dous factores. — Esta é a protección do inicio de sesión nunha conta cando, ademais do contrasinal, se realiza outra acción. A opción máis común é un código SMS. Este método non é o máis fiable, xa que os atacantes poden interceptar a mensaxe SMS. As opcións máis seguras son un ficheiro clave, códigos temporais, unha aplicación móbil e un token de hardware.
Desafortunadamente, vémonos obrigados a vivir nunha época na que garantir a seguridade dos datos convértese no noso propio problema. Esperan que os operadores asuman de forma independente a responsabilidade en caso de hackeo, pero ao parecer non é así. Ademais de confiar en Roskomnadzor, que estivo lonxe da realidade nas súas prácticas de protección de datos. É incriblemente difícil romper a armadura do "material de rexeitamento" do policía local que recibirá a súa solicitude nun caso similar, especialmente para unha persoa común que non sabe como funciona este sistema. Que queda? Non te esquezas da hixiene dixital, confía nas matemáticas e defende os teus dereitos nos xulgados.
Fonte: www.habr.com