A csalók ellopták Alekszej Mironov vállalkozó VKontakte oldalát az MTS ügyfél-azonosító rendszerének sérülékenysége miatt. A közösségi oldal soha nem adta vissza tulajdonosának, és lehetetlent követel tőle. Most ezért perli a VKontakte-ot. A Digitális Jogok Központja képviseli.
Alexey Mironov a Jeffrey's Coffee lánc alapítója. Ez egy franchise kávézóknak Moszkvában és a régiókban. Alexey gyakran kommunikált kollégáival és partnereivel a VKontakte-on, és nagyon népszerű nyilvános oldalt tartott fenn hálózatának, amely több mint 50 000 előfizetővel rendelkezik.
2018 novemberében, kora reggel, amikor Alexey üzleti úton volt Kínában, feltörték a VKontakte oldalát. SMS-t kapott a VKontakte-tól, a WhatsApp-tól és egy üzenetet az MTS szolgáltatótól, amely szerint be van állítva a továbbítás egy másik számra. Alexey nem állított be továbbítást, ezért azonnal aggódott, és felhívta az MTS-t. Még azt sem állapították meg azonnal, hogy valóban van átirányítás. A kezelő csak két órával Alexey hívása után tudta kikapcsolni. Az MTS soha nem talált adatokat arról, hogyan és mikor aktiválták a továbbítást.
Alexey ellenőrizte a közösségi hálózatokhoz és az azonnali üzenetküldőkhöz való hozzáférést, és látta, hogy már nem tud bejelentkezni a telefonszámával. A hackerek egy másik számot kapcsoltak a fiókjaihoz. A WhatsApp segítségével a probléma gyorsan megoldódott. Közvetlenül a továbbítás visszavonása után a messenger visszaállította a hozzáférést a fiókhoz a jogos tulajdonosnak.
Alexey írt a VKontakte ügyfélszolgálatának, és kérte, hogy küldjék vissza az oldalt, és elküldte az útlevelének fényképét. Este kapott egy SMS-t, hogy a kérelmet elutasították, mivel a jelenlegi tulajdonos megerősítette a hozzáférési jogot.
Egy technikai támogatási szakember kijelentette, hogy Alexey önkéntesen átadhatja az oldalához való hozzáférést harmadik feleknek, így nem állítják vissza a hozzáférését. Alexey elmagyarázta a hackelési helyzetet, de megkérték, hogy küldjön egy megerősítő levelet az MTS-től, amelyben az operátor megerősíti, hogy feltörés történt. Alexey levelet adott az MTS-től. Ezt követően a VKontakte adminisztrációja azt követelte, hogy ezt a levelet a rendőrség hitelesítse. Ezt a követelményt nagyon nehéz teljesíteni, mert nem a rendőrség feladata a levelek és az aláírói okiratok hitelesítése. Alexey csak úgy tudta blokkolni a feltört oldalt, hogy személyesen megkérdezte a VKontakte alkalmazottait, akiket tudott róla. Az oldal még nincs visszaküldve. Az egyetlen dolog, amit Alexey elért, az az, hogy blokkolta a fiókját. Most sem a csalók, sem ő maga nem használhatja.
A VKontakte támogatási szolgáltatás egy másik történet. Csak az arra jogosult felhasználók léphetnek kapcsolatba a VKontakte támogatási szolgáltatásával. Ez azt jelenti, hogy ha elveszíti hozzáférését az oldalához, létre kell hoznia egy újat, vagy meg kell kérnie barátait, hogy adjanak hozzáférést az oldalukhoz, hogy támogatást írhassanak. Alexey levelezett a támogatási szolgálat szakembereivel a felesége oldaláról, és ez nem zavarta őket, bár a felhasználói megállapodás nem teszi lehetővé a bejelentkezési név és a jelszó átvitelét másra.
Az oldal feltörése, valamint a fiókhoz és a nyilvános oldalhoz való hozzáférés további elvesztése nyilvánvalóan sértette Alekszej üzleti hírnevét és tulajdoni érdekeit. Arról nem is beszélve, hogy ezzel jelentős mennyiségű személyes és kereskedelmi információ szivároghatott ki ismeretlen célállomásokra. Az üzletember számlájáról csalók arra kérték barátait, hogy utaljanak át nekik nagy összegeket. Egy személy 34 ezer rubelt utalt át nekik. A támadók XNUMX órán keresztül hozzáfértek Alekszej fiókjából származó személyes adatokhoz.
Per a VKontakte ellen
Alekszej Mironov pert indított a VKontakte közösségi hálózat ellen a szentpétervári Szmolninszkij Kerületi Bíróságon, és most az ügy kijelölésére vár. Kéri a bíróságot, hogy kötelezze a közösségi hálózatot saját, Felhasználói Szerződés formájában kötött megállapodásának teljesítésére, és biztosítsa számára az oldalához való hozzáférést. A VKontakte adminisztrációja a mai napig indokolatlanul megfosztja Alexeyt a fiókjához való hozzáféréstől, miközben lelkiismeretesen betartotta a felhasználói megállapodás feltételeit, és azonnal tájékoztatta a közösségi hálózat technikai támogatási szolgálatát a feltörésről. A VKontakte megtagadta az oldalhoz való hozzáférésének visszaállítását, hivatkozva a Felhasználói Szerződés egy olyan pontjára, amely megtiltja a felhasználóknak, hogy átadják oldaluk bejelentkezési adatait és jelszavát harmadik félnek. A VKontakte támogatási ügynöke, akivel Alekszej beszélt, azt mondta, hogy a telefonszám-továbbítást csak az üzemeltető irodájának meglátogatásával és az útlevél bemutatásával állíthatja be. Valójában ez nem így van, és ezt a Roszkomnadzor is megerősítette válaszul Alekszej fellebbezésére.
A közösségi hálózat, megsértve a felhasználói megállapodást, indokolatlanul korlátozta Alexey hozzáférését oldala használatához. Ez a kötelezettségek teljesítésének egyoldalú megtagadása, amely megsérti az Art. (1) bekezdését. 30 Az Orosz Föderáció Polgári Törvénykönyve. Azzal, hogy megfosztotta őt a fiókjához való hozzáféréstől, a VK egyúttal megfosztotta Alekszejt nyilvános oldalának kezelési jogától is, amely fontos immateriális eszköz számára. (A közpiacról, mint a digitális tulajdon új formájáról és a velük való tranzakciók megkötésének sajátosságairól írtunk )
Biztonsági lyukak az MTS azonosító rendszerben
A csalók által a vállalkozó megbízásából folytatott levelezés azt mutatja, hogy tudtak üzleti és üzleti útjáról. Felhívták az MTS kapcsolattartó központját, azonosítani tudták magukat Alexey nevében, és beállították a hívásátirányítást. A támadók social engineering segítségével szerezhették meg az útlevéladatait. Alekszej Mironov a franchise alapítója, így sok franchise-létesítmény nyitásában részt vevő személy birtokában lehet az útlevéladatainak. Az MTS belső vizsgálatot folytatott, de nem tudta megállapítani, hogy pontosan ki telepítette a továbbítást, és hogyan hallgatta el a támadó az SMS-t. A cég nem ismerte el bűnösségét, ugyanakkor nagyon furcsa kártérítést ajánlott fel Alekszejnek - 750 rubelt.
Úgy ítéltük meg, hogy az előfizető távoli azonosítása csak a helyes személyes adatok felhasználásával nagyon kétes gyakorlat, és panaszt írtunk a Roszkomnadzornak, hogy ellenőrizze, az ilyen típusú vállalati folyamat megfelel-e a személyes adatokra vonatkozó jogszabályok követelményeinek. Ennek eredményeként a Roszkomnadzor az MTS oldalára állt, rámutatva arra, hogy a kommunikációs szolgáltatások telefonos távazonosítást követő kezelése a személyes adatok helyes megadása mellett teljesen normális, és az ilyen típusú jogosulatlan cselekmények elleni további védelmi módszerek kialakítása magának az előfizetőnek is fejfájást okoz, a cég. (Olvassa el a teljes választ - )
Alekszej Mironov fiókjának feltörése nem az első eset, amikor jogosulatlanul hozzáfértek az MTS-előfizetői adatokhoz. 2018-ban az 500 ezer előfizetőt tartalmazó adatbázis Novoszibirszkben két támadó, egyikük a cég alkalmazottja volt. Megpróbálták eladni az adatbázist 1 rubel áron egy előfizető adataiért.
2016-ban voltak Georgy Alburov és Oleg Kozlovsky ellenzéki aktivisták távirati beszámolói. Fiókjaikat MTS-számokhoz kapcsolták, és röviddel a feltörés előtt letiltották az SMS-szolgáltatásukat, és engedélyezték a továbbítást. A betörés körülményeit sem sikerült megállapítani. 2019-ben Oleg Kozlovsky pert indított az MTS ellen, de a bíróság elutasította.
A különféle webszolgáltatások és alkalmazások fiókjainak védelme a feltörésekkel szemben a felhasználó felelőssége. Ezt az álláspontot a távközlési szolgáltatók és maga a szabályozó is osztja, miszerint nem hajlandók megosztani ezeket a kockázatokat saját előfizetőikkel.
Az RKN ezt így írja le válaszában:
„... Az MTS Feltételek 2.11. pontja szerint a távközlési szolgáltató előfizetői azonosítás céljából lehetőséget kapnak Kódszó használatára - az Előfizető által meghatározott szimbólumsorozat (betűk, számok) használatára, az előfizető által meghatározott formában. az Üzemeltető, amely a Szerződés teljesítésekor az Előfizető azonosítására szolgál. Az előfizetőnek lehetősége van kódszót beállítani mind a szerződés megkötésekor (jelen esetben a szerződési adatlapon a kötelező adatokkal együtt), mind a szerződés teljesítése során bármikor. Ennek ellenére az előfizető Mironov A.K. a kódszó nem a szolgáltatás vitatott csatlakozása előtt lett beállítva. Ilyen körülmények között csak az előfizető tudta a távközlési szolgáltatóval történő azonosítás során kódszó létrehozásával semlegesíteni az ilyen helyzetekből eredő hátrányos következmények kockázatát, de nem élt ezzel a lehetőséggel.”
Fiók visszaállítás. Lehetetlen küldetés
A Roszkomnadzor tétlensége miatt már feljelentést tettek az ügyészségen. Mindeközben a rendőrség továbbra is hallgat a bűnügyi feljelentésről. A cégen belül sem számol be senki semmit a vizsgálat eredményéről. Az MTS nem ismeri el bűnösségét. Senkit sem érdekel. Ugyanakkor a VKontakte továbbra is megtagadja a fióktulajdonostól a hozzáférés visszaállítását mindaddig, amíg a rendőrségtől határozatot nem hoz a meghatározott tényeket megállapító büntetőeljárás megindításáról, valamint az MTS levelét, amely megerősíti, hogy az átirányítási szolgáltatás vitatható. A meglehetősen kiterjedt magyarázatokat tartalmazó levélben az is előírás, hogy Mironovnak igazolást kell benyújtania az MTS-től, hogy ő az egyedüli (és mi, valahol a szolgáltatók közös tulajdonjogot regisztrálnak a telefonszámok között?) annak a telefonszámnak, amelyhez kapcsolták. az oldal. A válasz a múlt hét végén érkezett meg, és tekintettel a helyzet patthelyzetére és arra, hogy a VKontakte-val már hat hónapja nem sikerült megegyezni, bírósághoz fordultunk.
Hogyan védheti meg magát a hackeléstől
A támadók más sebezhetőségeken keresztül is hozzáférhetnek egy telefonszám kezeléséhez – az SS7 protokollon vagy a SIM-kártya duplikált beszerzéséhez gátlástalan kezelői alkalmazottak segítségével.
Az SS7 a távközlési szolgáltatók által használt technikai protokoll. Egy régi és látszólag eltávolíthatatlan , amely lehetővé teszi az előfizetők által hívás közben vagy SMS-ben továbbított adatok lehallgatását. Csak a szolgáltatók férhetnek hozzá az SS7-hez, de a támadók elérhetik, ha a sötét neten vásárolnak hozzáférést a fejletlen országok szolgáltatóitól, vagy a mobilszolgáltatók gátlástalan alkalmazottai révén. Támadás akkor történik, amikor a támadó megváltoztatja az előfizető számlázási rendszerének címét a saját címére. Leggyakrabban a támadók arról tájékoztatják a rendszert, hogy az előfizető nemzetközi roamingban van, így a legegyszerűbb módja annak, hogy megvédje magát, ha letiltja a nemzetközi roamingot, ha nem használja.
Alexey Mironov még nem rendelkezett kéttényezős hitelesítési rendszerrel a Vkontakte számára. Ez a funkció a VK-ban 2014 júniusában. Talán megvédheti a fiókját a feltöréstől. Érdemes megjegyezni, hogy egy fiók telefonszámhoz való egyszerű összekapcsolása nem kéttényezős hitelesítés. — ez a fiókba való bejelentkezés védelme, amikor a jelszó mellett más műveletet hajtanak végre. A leggyakoribb lehetőség az SMS-kód. Ez a módszer nem a legmegbízhatóbb, mivel a támadók elfoghatják az SMS-t. A biztonságosabb lehetőségek a kulcsfájl, az ideiglenes kódok, a mobilalkalmazás és a hardver token.
Sajnos olyan korszakban vagyunk kénytelenek élni, amikor az adatbiztonság biztosítása saját problémánkká válik. Azt remélik, hogy az üzemeltetők önállóan viselik a felelősséget egy feltörés esetén, de úgy tűnik, ez nem így van. Valamint a Roskomnadzorra támaszkodni, amely adatvédelmi gyakorlatában már rég elvált a valóságtól. Hihetetlenül nehéz áttörni a hasonló ügyben jelentkezését átvevő helyi rendőr „elutasító anyagának” páncélzatát, főleg egy hétköznapi ember számára, aki nem ismeri ennek a rendszernek a működését. Ami marad? Ne feledkezzen meg a digitális higiéniáról, bízzon a matematikában, és védje meg jogait a bíróság előtt.
Forrás: will.com