Prevaranti su ukrali VKontakte stranicu poduzetnika Alexeya Mironova zbog ranjivosti u sustavu identifikacije korisnika MTS-a. Društvena ga mreža nikad nije vratila vlasniku i od njega traži nemoguće. Sada zbog toga tuži VKontakte. Zastupa ga Centar za digitalna prava.
Alexey Mironov je osnivač lanca Jeffrey's Coffee. Ovo je franšiza kafića u Moskvi i regijama. Alexey je često komunicirao s kolegama i partnerima na VKontakteu i tamo je održavao vrlo popularnu javnu stranicu za svoju mrežu, koja broji više od 50 pretplatnika.
U studenom 2018., rano ujutro, dok je Alexey bio na poslovnom putu u Kini, njegova stranica VKontakte bila je hakirana. Primio je SMS od VKontaktea, WhatsAppa i poruku od operatera MTS-a, koji je rekao da je postavljeno prosljeđivanje na drugi broj. Alexey nije postavio prosljeđivanje, pa se odmah zabrinuo i nazvao MTS. Nisu čak ni odmah utvrdili da doista postoji preusmjeravanje. Operater ga je uspio isključiti tek dva sata nakon Alexeyeva poziva. MTS nikada nije pronašao podatke o tome kako i kada je prosljeđivanje aktivirano.
Alexey je provjerio pristup društvenim mrežama i instant messengerima i vidio da se više ne može prijaviti na njih pomoću svog telefonskog broja. Hakeri su s njegovim računima povezali još jedan broj. Uz WhatsApp problem je brzo riješen. Odmah nakon otkazivanja prosljeđivanja, glasnik je vratio pristup računu pravom vlasniku.
Alexey je pisao VKontakte podršci tražeći da vrati stranicu i poslao fotografiju svoje putovnice. Navečer je dobio SMS da je zahtjev odbijen, budući da je sadašnji vlasnik potvrdio pravo pristupa.
Stručnjak za tehničku podršku izjavio je da Alexey može dobrovoljno prenijeti pristup svojoj stranici trećim stranama, tako da mu neće vratiti pristup. Alexey je objasnio situaciju hakiranja, ali je od njega zatraženo da pošalje potvrdno pismo od MTS-a, u kojem bi operater potvrdio da je došlo do hakiranja. Alexey je dostavio pismo MTS-a. Nakon toga, administracija VKontakte je zahtijevala da ovo pismo ovjeri policija. Taj je uvjet vrlo teško ispuniti jer nije u nadležnosti policije ovjera pisama i vjerodajnica potpisnika. Alexey je uspio blokirati hakiranu stranicu samo tako što je osobno pitao zaposlenike VKontakte da zna za to. Stranica još nije vraćena. Jedino što je Aleksej postigao je blokada njegovog računa. Sada ga ne mogu koristiti ni prevaranti ni on sam.
Usluga podrške VKontakte je druga priča. Samo ovlašteni korisnici mogu se obratiti službi podrške VKontakte. To znači da ako izgubite pristup svojoj stranici, morate stvoriti novu ili zamoliti svoje prijatelje da daju pristup svojim stranicama kako biste pisali podršku. Alexey se dopisivao sa stručnjacima za podršku sa stranice svoje supruge i to im nije smetalo, iako korisnički ugovor ne dopušta prijenos korisničkog imena i lozinke nekom drugom.
Hakiranjem stranice i daljnjim gubitkom pristupa računu i javnoj stranici očito je oštećen Aleksejev poslovni ugled i njegovi imovinski interesi. Da ne spominjemo da je to omogućilo da značajna količina osobnih i komercijalnih informacija iscuri na nepoznata odredišta. Prevaranti su s računa poduzetnika tražili od njegovih prijatelja da im prebace velike svote novca. Jedna im je osoba prebacila 34 tisuće rubalja. Napadači su imali pristup osobnim podacima s Alexeyeva računa XNUMX sata.
Tužba protiv VKontakte
Alexey Mironov podnio je tužbu protiv društvene mreže VKontakte na Smolninskom okružnom sudu u St. Petersburgu i sada čeka dodjelu slučaja. Od suda traži da društvenu mrežu obveže na ispunjenje vlastitog ugovora, sklopljenog u obliku korisničkog ugovora, te mu vrati pristup njegovoj stranici. Do danas, administracija VKontakte nastavlja bezrazložno uskraćivati Alekseju pristup njegovom računu, dok se on savjesno pridržavao uvjeta korisničkog sporazuma i odmah obavijestio službu tehničke podrške društvene mreže o haku. VKontakte je odbio obnoviti njegov pristup stranici, pozivajući se na klauzulu u korisničkom ugovoru koja zabranjuje korisnicima da prenose svoje korisničko ime i lozinku trećim stranama. Agent podrške VKontakte s kojim je Alexey razgovarao izjavio je da prosljeđivanje telefonskog broja možete postaviti samo posjetom uredu operatera i predočenjem putovnice. Zapravo, to nije tako, a to je potvrdio Roskomnadzor kao odgovor na Aleksejevu žalbu.
Društvena mreža, kršeći Korisnički ugovor, neopravdano je ograničila Aleksejev pristup korištenju njegove stranice. Ovo je jednostrano odbijanje ispunjenja obveza, čime se krši stavak 1. čl. 30 Građanski zakonik Ruske Federacije. Uskraćujući mu pristup njegovom računu, VK je Alekseja lišio i prava upravljanja njegovom javnom stranicom, koja je za njega važna nematerijalna imovina. (Pisali smo o javnom tržištu kao novom obliku digitalne imovine i posebnostima sklapanja transakcija s njima )
Sigurnosne rupe u MTS identifikacijskom sustavu
Prepiska koju su prevaranti vodili u ime poduzetnika pokazuje da su znali za njegov posao i službeno putovanje. Nazvali su kontaktni centar MTS-a, uspjeli su se identificirati u ime Alexeya i postaviti prosljeđivanje poziva. Napadači su putem socijalnog inženjeringa mogli doći do njegovih podataka iz putovnice. Alexey Mironov je osnivač franšize, tako da bi mnogi ljudi uključeni u otvaranje franšiznih objekata mogli imati podatke o njegovoj putovnici. MTS je proveo internu istragu, ali nije uspio utvrditi tko je točno instalirao prosljeđivanje i kako je napadač presreo SMS. Tvrtka nije priznala krivnju, ali je Alexeyu ponudila vrlo čudnu naknadu - 750 rubalja.
Smatrali smo da je daljinska identifikacija pretplatnika samo pomoću točnih osobnih podataka vrlo sumnjiva praksa i napisali smo pritužbu Roskomnadzoru kako bismo provjerili usklađenost ove vrste procesa tvrtke sa zahtjevima zakona o osobnim podacima. Kao rezultat toga, Roskomnadzor je stao na stranu MTS-a, ističući da je upravljanje komunikacijskim uslugama nakon daljinske identifikacije telefonom uz pružanje točnih osobnih podataka sasvim normalno, a uspostavljanje dodatnih metoda zaštite od ove vrste neovlaštenih radnji glavobolja je za samog pretplatnika, a ne tvrtka . (pročitaj cijeli odgovor - )
Hakiranje računa Alekseja Mironova nije prvi slučaj neovlaštenog pristupa podacima pretplatnika MTS-a. U 2018. godini baza podataka od 500 tisuća pretplatnika u Novosibirsku dva napadača, od kojih je jedan bio zaposlenik tvrtke. Pokušali su prodati bazu podataka po cijeni od 1 rublje za podatke jednog pretplatnika.
U 2016. bilo ih je Telegram računi oporbenih aktivista Georgija Alburova i Olega Kozlovskog. Računi su im bili povezani s brojevima MTS-a, a neposredno prije hakiranja SMS usluga im je onemogućena i omogućeno prosljeđivanje. Okolnosti provale također nisu utvrđene. Oleg Kozlovsky je 2019. podnio tužbu protiv MTS-a, ali ju je sud odbio.
Zaštita računa raznih web servisa i aplikacija od hakiranja odgovornost je samog korisnika. To stajalište dijele i teleoperateri i sam regulator prema kojem odbijaju podijeliti te rizike s vlastitim pretplatnicima.
RKN to ovako opisuje u svom odgovoru:
“... Prema klauzuli 2.11 Uvjeta MTS-a, u svrhu identifikacije, pretplatnicima telekom operatera dana je mogućnost korištenja kodne riječi - niza simbola (slova, brojeva) koje je odredio Pretplatnik u obliku koji je utvrdio Operatora, koji služi za identifikaciju Pretplatnika prilikom sklapanja Ugovora. Pretplatnik ima mogućnost postaviti kodnu riječ kako prilikom sklapanja ugovora (u ovom slučaju ona se unosi u obrazac ugovora uz obvezne podatke) tako iu bilo kojem trenutku tijekom izvršenja ugovora. Unatoč tome, pretplatnik Mironov A.K. kodna riječ nije postavljena prije spornog povezivanja usluge. U takvim okolnostima jedino je pretplatnik, uspostavljanjem kodne riječi prilikom identifikacije s teleoperatorom, mogao neutralizirati rizik od štetnih posljedica iz takvih situacija, ali nije iskoristio ovu priliku.”
Oporavak računa. Nemoguća misija
Žalba zbog nedjelovanja Roskomnadzora već je podnesena tužiteljstvu. U međuvremenu, policija i dalje šuti o kaznenoj prijavi. Ni unutar tvrtke nitko ništa ne javlja o rezultatima istrage. MTS ne priznaje nikakvu krivnju. Nikoga nije briga. Istodobno, VKontakte nastavlja odbijati vlasnika računa da mu vrati pristup sve dok od policije ne donese rješenje o pokretanju kaznenog postupka kojim se utvrđuju navedene činjenice i pismo MTS-a, koje će potvrditi da je usluga preusmjeravanja osporiva. U dopisu s prilično opširnim objašnjenjima stoji i zahtjev da Mironov mora dostaviti i potvrdu MTS-a da je on jedini (a što, negdje operateri registriraju suvlasništvo telefonskih brojeva?) korisnik telefonskog broja koji je bio povezan s stranica. Odgovor je stigao krajem prošlog tjedna, a s obzirom na zastoj situacije i već šest mjeseci nemogućnost dogovora s VKontakteom, obratili smo se sudu.
Kako se zaštititi od hakiranja
Napadači također mogu dobiti pristup upravljanju telefonskim brojem kroz druge ranjivosti - SS7 protokol ili dobivanje duplikata SIM kartice uz pomoć beskrupuloznih zaposlenika operatera.
SS7 je tehnički protokol koji koriste telekom operateri. Sadrži staru i naizgled neuklonjivu , koji vam omogućuje presretanje podataka koje pretplatnici prenose tijekom poziva ili putem SMS-a. Pristup SS7 imaju samo operateri, no napadači ga mogu dobiti kupnjom pristupa na darknetu od operatera u nerazvijenim zemljama ili preko beskrupuloznih zaposlenika mobilnih operatera. Napad se događa kada napadač promijeni adresu sustava naplate pretplatnika svojom vlastitom adresom. Najčešće napadači obavještavaju sustav da je pretplatnik u međunarodnom roamingu, pa se najlakše zaštitite isključivanjem međunarodnog roaminga ako ga ne koristite.
Alexey Mironov još nije imao konfiguriran dvofaktorski sustav autentifikacije za Vkontakte. Ova funkcija u VK u lipnju 2014. Možda bi mogla zaštititi njegov račun od hakiranja. Vrijedno je zapamtiti da jednostavno povezivanje računa s telefonskim brojem nije dvofaktorska autentifikacija. — ovo je zaštita prijave na račun kada se, osim lozinke, izvodi neka druga radnja. Najčešća opcija je SMS kod. Ova metoda nije najpouzdanija jer napadači mogu presresti SMS poruku. Sigurnije opcije su ključna datoteka, privremeni kodovi, mobilna aplikacija i hardverski token.
Nažalost, prisiljeni smo živjeti u eri u kojoj osiguravanje sigurnosti podataka postaje naš problem. Nadaju se da će operateri samostalno snositi odgovornost u slučaju hakiranja, ali očito nije tako. Kao i oslanjanje na Roskomnadzor, koji je dugo bio odvojen od stvarnosti u svojim praksama zaštite podataka. Nevjerojatno je teško probiti oklop “odbijenog materijala” lokalnog policajca koji će primiti vašu prijavu u sličnom slučaju, pogotovo običnoj osobi koja ne zna kako ovaj sustav funkcionira. Što ostaje? Ne zaboravite na digitalnu higijenu, vjerujte matematici i branite svoja prava na sudu.
Izvor: www.habr.com