Èskro yo te vòlè paj VKontakte antreprenè Alexey Mironov akòz yon vilnerabilite nan sistèm idantifikasyon kliyan MTS la. Rezo sosyal la pa janm remèt li bay pwopriyetè li epi li mande l enposib. Kounye a li lajistis VKontakte pou sa. Li reprezante pa Sant pou Dwa Digital.
Alexey Mironov se fondatè Jeffrey's Coffee chèn. Sa a se yon franchiz nan boutik kafe nan Moskou ak rejyon yo. Alexey souvan kominike ak kòlèg li yo ak patnè sou VKontakte e li te kenbe yon paj piblik trè popilè pou rezo li a, ki konte plis pase 50 abonnés.
Nan mwa novanm 2018, byen bonè nan maten, lè Alexey te nan yon vwayaj biznis nan peyi Lachin, paj VKontakte l 'te rache. Li te resevwa SMS soti nan VKontakte, WhatsApp ak yon mesaj nan men operatè MTS, ki te di ke yo te voye yon lòt nimewo. Alexey pa te mete kanpe voye, kidonk li imedyatman te vin enkyete epi li rele MTS. Yo pa t 'menm imedyatman detèmine ke te gen vre yon redireksyon. Operatè a te kapab fèmen li sèlman de èdtan apre apèl Alexey a. MTS pa janm jwenn done sou ki jan ak ki lè transmisyon an te aktive.
Alexey te tcheke aksè nan rezo sosyal yo ak mesaje enstantane epi li te wè ke li pa t 'kapab konekte nan yo ankò lè l sèvi avèk nimewo telefòn li. Entru yo lye yon lòt nimewo nan kont li yo. Ak WhatsApp pwoblèm nan te rezoud byen vit. Touswit apre yo fin anile transmisyon an, mesaje a retabli aksè nan kont lan bay pwopriyetè lejitim la.
Alexey te ekri sipò VKontakte pou l te mande retounen paj la epi li te voye yon foto paspò li. Nan aswè a, li te resevwa yon SMS ke aplikasyon an te rejte, depi pwopriyetè aktyèl la konfime dwa pou aksè.
Yon espesyalis sipò teknik te deklare ke Alexey te ka volontèman transfere aksè nan paj li a bay twazyèm pati, kidonk yo pa pral retabli aksè li. Alexey te eksplike sitiyasyon an piratage, men li te mande yo voye yon lèt konfimasyon soti nan MTS, nan ki operatè a ta konfime ke yon Hack te fèt. Alexey te bay yon lèt ki soti nan MTS. Apre sa, administrasyon VKontakte te mande pou lapolis sètifye lèt sa a. Egzijans sa a difisil anpil pou ranpli paske se pa fonksyon lapolis pou sètifye lèt ak kalifikasyon siyatè a. Alexey te kapab bloke paj rache a sèlman lè li pèsonèlman mande anplwaye VKontakte li yo pou yo fè sa. Paj la poko retounen. Sèl bagay Alexey te reyalize se te bloke kont li. Koulye a, ni SCAMMERS ni li menm li ka sèvi ak li.
Sèvis sipò VKontakte se yon istwa diferan. Se sèlman itilizatè otorize ki ka kontakte sèvis sipò VKontakte. Sa vle di ke si ou pèdi aksè nan paj ou a, ou dwe kreye yon nouvo oswa mande zanmi ou yo bay aksè a paj yo nan lòd yo ekri nan sipò. Alexey te koresponn ak espesyalis sèvis sipò nan paj madanm li, e sa pa t deranje yo, byenke Akò itilizatè a pa pèmèt transfere login ak modpas bay yon lòt moun.
Hacking nan paj la ak plis pèt aksè nan kont lan ak paj piblik evidamman domaje tou de repitasyon biznis Alexey a ak enterè pwopriyete li. Nou pa mansyone ke sa pèmèt yon kantite siyifikatif enfòmasyon pèsonèl ak komèsyal yo koule nan destinasyon enkoni. Èskro ki soti nan kont biznisman an te mande zanmi l yo transfere yo gwo sòm lajan. Yon moun transfere yo 34 mil rubles. Atakè yo te gen aksè a enfòmasyon pèsonèl ki soti nan kont Alexey a pou XNUMX èdtan.
Pwosè kont VKontakte
Alexey Mironov te depoze yon pwosè kont rezo sosyal VKontakte nan Tribinal Distrik Smolninsky nan Saint Petersburg epi kounye a ap tann plasman nan ka a. Li mande tribinal la oblije rezo sosyal la ranpli akò pwòp li yo, konkli nan fòm lan nan yon Akò Itilizatè, epi retounen li aksè nan paj li. Jouk jounen jodi a, administrasyon VKontakte kontinye anpeche Alexey aksè nan kont li san rezon, pandan ke li te respekte kondisyon ki nan Akò Itilizatè a epi imedyatman enfòme sèvis sipò teknik rezo sosyal la sou Hack la. VKontakte te refize retabli aksè li nan paj la, site yon kloz nan Akò itilizatè a ki entèdi itilizatè yo transfere login paj yo ak modpas yo bay twazyèm pati. Ajan sipò VKontakte ak ki Alexey te pale a te deklare ke ou ka mete yon nimewo telefòn voye sèlman lè w vizite biwo operatè a epi prezante paspò ou. An reyalite, sa a se pa ka a, e sa a te konfime pa Roskomnadzor an repons a apèl Alexey a.
Rezo sosyal la, an vyolasyon Akò Itilizatè a, limite aksè Alexey san rezon pou itilize paj li a. Sa a se yon refi inilateral satisfè obligasyon, vyole paragraf 1 nan Atizay. 30 Kòd Sivil nan Federasyon Larisi la. Lè li anpeche l aksè nan kont li, VK te prive Alexey tou de dwa pou li administre paj piblik li a, ki se yon byen enpòtan immaterial pou li. (Nou te ekri sou mache piblik la kòm yon nouvo fòm pwopriyete dijital ak sengularite yo nan konkli tranzaksyon ak yo )
Twou sekirite nan sistèm idantifikasyon MTS la
Korespondans ki te fèt pa SCAMMERS yo sou non antreprenè a montre ke yo te konnen sou biznis li ak vwayaj biznis. Yo te rele sant kontak MTS la, yo te kapab idantifye tèt yo sou non Alexey epi yo te mete sou pye voye apèl. Atakè yo te kapab jwenn done paspò li atravè jeni sosyal. Alexey Mironov se fondatè franchiz la, se konsa anpil moun ki patisipe nan ouvèti etablisman franchiz te kapab gen enfòmasyon paspò li. MTS te fè yon ankèt entèn, men li pa t 'kapab detèmine ki moun egzakteman ki enstale transmisyon an ak ki jan atakè a entèsepte SMS la. Konpayi an pa t 'admèt kilpabilite, men an menm tan an ofri Alexey yon konpansasyon trè etranj - 750 rubles.
Nou konsidere ke idantifye yon abònen adistans sèlman lè l sèvi avèk done pèsonèl kòrèk se yon pratik trè enziyan e li te ekri yon plent bay Roskomnadzor pou verifye konfòmite sa a kalite pwosesis konpayi ak kondisyon ki nan lejislasyon an sou done pèsonèl. Kòm yon rezilta, Roskomnadzor pati ak MTS, fè remake ke jere sèvis kominikasyon apre idantifikasyon aleka pa telefòn pandan y ap bay done pèsonèl kòrèk se byen nòmal, epi etabli metòd adisyonèl nan pwoteksyon kont sa a kalite aksyon san otorizasyon se yon tèt fè mal pou abònen nan tèt li, pa. konpayi a . (li repons konplè - )
Hacking nan kont Alexey Mironov a se pa premye ka aksè san otorizasyon nan done abònen MTS. Nan 2018, baz done a nan 500 mil abonnés nan Novosibirsk de atakè, youn nan yo te yon anplwaye konpayi. Yo te eseye vann baz done a nan yon pri 1 ruble pou done yo nan yon sèl abònen.
Nan 2016 te genyen Kont telegram nan aktivis opozisyon Georgy Alburov ak Oleg Kozlovsky. Kont yo te lye ak nimewo MTS, ak yon ti tan anvan Hack a, sèvis SMS yo te enfim ak voye yo te pèmèt. Sikonstans yo nan kase a tou pa te etabli. Nan 2019, Oleg Kozlovsky te depoze yon pwosè kont MTS, men tribinal la te rejte li.
Pwoteje kont divès kalite sèvis entènèt ak aplikasyon kont piratage se responsablite itilizatè a tèt li. Pozisyon sa a pataje tou de operatè telecom ak regilatè a li menm, dapre sa yo refize pataje risk sa yo ak pwòp abonnés yo.
RKN dekri li fason sa a nan repons li:
"... Dapre kloz 2.11 nan Kondisyon MTS yo, pou rezon idantifikasyon, abònen ki soti nan operatè telecom yo bay opòtinite pou yo sèvi ak yon Pawòl Kòd - yon sekans senbòl (lèt, nimewo) espesifye pa Abònen an nan fòm ki etabli pa Operatè a, ki sèvi pou idantifye Abònen a lè li egzekite Akò a. Abònen a gen opòtinite pou mete yon mo kòd tou de lè konklizyon yon akò (nan ka sa a li antre nan fòm akò a ansanm ak detay yo obligatwa) ak nenpòt ki lè pandan egzekisyon an nan akò a. Malgre sa, abònen Mironov A.K. mo kòd la pa te mete anvan koneksyon an diskite nan sèvis la. Nan sikonstans sa yo, sèlman abònen a, lè li tabli yon mo kòd pandan idantifikasyon ak operatè telecom la, te kapab netralize risk konsekans negatif nan sitiyasyon sa yo, men li pa t pwofite opòtinite sa a.
Rekiperasyon kont. Misyon enposib
Yon plent sou inaksyon Roskomnadzor deja te depoze nan biwo pwosekitè a. Pandan se tan, lapolis kontinye rete an silans sou rapò krim lan. Pèsonn pa rapòte anyen andedan konpayi an sou rezilta ankèt la tou. MTS pa admèt okenn koupab. Pèsonn pa pran swen. An menm tan an, VKontakte kontinye refize pwopriyetè kont la retabli aksè a li jiskaske li pote nan men lapolis yon Rezolisyon pou inisye yon dosye kriminèl ki etabli reyalite yo espesifye ak yon lèt ki soti nan MTS, ki pral konfime ke sèvis la redireksyon se konteste. Nan lèt la ak eksplikasyon san patipri vaste, gen tou yon egzijans ke Mironov dwe tou bay yon sètifika nan MTS ke li se sèl (ak sa, yon kote operatè yo anrejistre pwopriyetè ansanm nan nimewo telefòn?) itilizatè nan nimewo telefòn la ki te lye ak. paj la. Repons lan te rive nan fen semèn pase a, epi bay enpas nan sitiyasyon an ak enposib pou jwenn yon akò ak VKontakte pou sis mwa kounye a, nou te ale nan tribinal la.
Ki jan yo pwoteje tèt ou kont piratage
Atakè yo ka jwenn aksè tou pou jere yon nimewo telefòn atravè lòt vilnerabilite - pwotokòl SS7 oswa jwenn yon kopi kat SIM avèk èd anplwaye operatè ki pa gen skrupil.
SS7 se yon pwotokòl teknik ki itilize pa operatè telecom. Li gen yon ansyen ak aparamman inamovible , ki pèmèt ou entèsepte done ki transmèt pa abonnés pandan yon apèl oswa atravè SMS. Se sèlman operatè yo ki gen aksè a SS7, men atakè yo ka jwenn li lè yo achte aksè sou darknet la nan men operatè nan peyi soudevlope oswa atravè anplwaye operatè mobil ki san konsyans. Yon atak rive lè yon atakè chanje adrès sistèm bòdwo abònen an nan pwòp adrès li. Pi souvan, atakè yo enfòme sistèm nan ke abònen an se nan itinérance entènasyonal, kidonk fason ki pi fasil pou pwoteje tèt ou se enfim itinérance entènasyonal si ou pa sèvi ak li.
Alexey Mironov pa t 'ankò gen yon sistèm otantifikasyon de faktè configuré pou Vkontakte. Fonksyon sa a nan VK nan mwa jen 2014. Petèt li ta ka pwoteje kont li kont yo te pirate. Li vo sonje ke tou senpleman konekte yon kont ak yon nimewo telefòn se pa otantifikasyon de faktè. — sa a se pwoteksyon pou konekte nan yon kont lè, anplis modpas la, yon lòt aksyon fèt. Opsyon ki pi komen se yon kòd SMS. Metòd sa a se pa pi serye a, kòm atakè yo ka entèsepte mesaj la SMS. Opsyon ki pi an sekirite yo se yon dosye kle, kòd tanporè, yon aplikasyon mobil ak yon siy pyès ki nan konpitè.
Malerezman, nou oblije viv nan yon epòk kote asire sekirite done vin pwòp pwoblèm pa nou. Yo espere ke operatè yo pral endepandamman pote responsablite nan evènman an nan yon Hack, men aparamman sa a se pa ka a. Osi byen ke repoze sou Roskomnadzor, ki depi lontan te divòse ak reyalite nan pratik pwoteksyon done li yo. Li ekstrèmman difisil pou kraze zam nan "materyèl refi" ofisye polis lokal la ki pral resevwa aplikasyon w lan nan yon ka menm jan an, espesyalman pou yon moun òdinè ki pa konnen ki jan sistèm sa a fonksyone. Kisa ki rete? Pa bliye sou ijyèn dijital, fè matematik konfyans epi defann dwa w nan tribinal.
Sous: www.habr.com