Խարդախները գողացել են ձեռնարկատեր Ալեքսեյ Միրոնովի VKontakte էջը MTS-ի հաճախորդների նույնականացման համակարգում խոցելիության պատճառով: Սոցցանցն այն երբեք չի վերադարձրել իր տիրոջը եւ նրանից անհնարինն է պահանջում։ Այժմ նա սրա համար դատի է տալիս VKontakte-ին։ Նա ներկայացնում է Թվային իրավունքների կենտրոնը։
Ալեքսեյ Միրոնովը Jeffrey's Coffee ցանցի հիմնադիրն է։ Սա Մոսկվայի և մարզերի սրճարանների արտոնություն է: Ալեքսեյը հաճախ էր շփվում գործընկերների և գործընկերների հետ VKontakte-ում և այնտեղ պահպանում էր իր ցանցի համար շատ հայտնի հանրային էջ, որը հաշվում էր ավելի քան 50 բաժանորդ:
2018 թվականի նոյեմբերին, վաղ առավոտյան, երբ Ալեքսեյը գործուղման էր Չինաստանում, կոտրել էին նրա VKontakte էջը։ Նա SMS է ստացել VKontakte-ից, WhatsApp-ից և հաղորդագրություն ՄՏՍ-ի օպերատորից, որտեղ ասվում է, որ այլ համարի վերահասցեավորումը կարգավորված է: Ալեքսեյը չի ստեղծել վերահասցեավորում, ուստի անմիջապես անհանգստացել է և զանգահարել ՄՏՍ: Նրանք նույնիսկ անմիջապես չպարզեցին, որ իսկապես վերահղում կա: Օպերատորը կարողացավ անջատել այն Ալեքսեյի զանգից ընդամենը երկու ժամ անց։ ՄՏՍ-ը երբեք չի գտել տվյալներ այն մասին, թե ինչպես և երբ է ակտիվացվել վերահասցեավորումը:
Ալեքսեյը ստուգել է մուտքը սոցիալական ցանցեր և ակնթարթային մեսենջերներ և տեսել, որ այլևս չի կարող մուտք գործել դրանք՝ օգտագործելով իր հեռախոսահամարը: Հաքերները մեկ այլ համար են կապել նրա աքաունթների հետ։ WhatsApp-ի հետ խնդիրն արագ լուծվեց: Փոխանցումը չեղարկելուց անմիջապես հետո մեսենջերը վերականգնել է մուտքը հաշիվ օրինական սեփականատիրոջը:
Ալեքսեյը գրել է VKontakte-ի աջակցությանը՝ խնդրելով վերադարձնել էջը և ուղարկել իր անձնագրի լուսանկարը։ Երեկոյան նա SMS է ստացել, որ դիմումը մերժվել է, քանի որ ներկայիս սեփականատերը հաստատել է մուտքի իրավունքը։
Տեխնիկական աջակցության մասնագետը հայտարարել է, որ Ալեքսեյը կարող է կամովին փոխանցել իր էջը երրորդ անձանց, ուստի նրանք չեն վերականգնի իր մուտքը։ Ալեքսեյը բացատրել է հաքերային իրավիճակը, սակայն նրան խնդրել են ՄՏՍ-ից հաստատող նամակ ուղարկել, որում օպերատորը կհաստատի, որ հաքեր է տեղի ունեցել: Ալեքսեյը նամակ է տրամադրել ՄՏՍ-ից։ Սրանից հետո VKontakte-ի ադմինիստրացիան պահանջել է, որ այս նամակը վավերացվի ոստիկանության կողմից։ Այս պահանջը շատ դժվար է կատարել, քանի որ նամակների և ստորագրողի հավատարմագրերի վավերացումը ոստիկանության գործառույթը չէ։ Ալեքսեյը կարողացել է արգելափակել կոտրված էջը միայն անձամբ խնդրելով VKontakte-ի աշխատակիցներին, որոնց նա գիտեր այդ մասին։ Էջը դեռ չի վերադարձվել։ Միակ բանին, որին հասավ Ալեքսեյը, նրա հաշիվն արգելափակելն էր։ Հիմա ոչ խաբեբաները, ոչ ինքը ինքը չեն կարող դրանից օգտվել։
VKontakte-ի աջակցման ծառայությունն այլ պատմություն է: Միայն լիազորված օգտվողները կարող են կապվել VKontakte աջակցության ծառայության հետ: Սա նշանակում է, որ եթե դուք կորցնեք մուտքը դեպի ձեր էջ, դուք պետք է ստեղծեք նորը կամ խնդրեք ձեր ընկերներին թույլ տալ մուտք գործել իրենց էջեր՝ աջակցության համար գրելու համար: Ալեքսեյը նամակագրում էր աջակցության ծառայության մասնագետների հետ իր կնոջ էջից, և դա նրանց չէր անհանգստացնում, չնայած Օգտատիրոջ պայմանագիրը թույլ չի տալիս մուտքի և գաղտնաբառը փոխանցել մեկ ուրիշին:
Էջը կոտրելը և հաշվի և հանրային էջին հասանելիության հետագա կորուստն ակնհայտորեն վնասել են Ալեքսեյի և՛ գործարար համբավին, և՛ նրա գույքային շահերին: Էլ չենք խոսում այն մասին, որ դա թույլ է տվել զգալի քանակությամբ անձնական և կոմերցիոն տեղեկատվության արտահոսք դեպի անհայտ ուղղություններ: Գործարարի հաշվից խարդախները խնդրել են նրա ընկերներին մեծ գումարներ փոխանցել իրենց։ Մեկ մարդ նրանց փոխանցել է 34 հազար ռուբլի։ Հարձակվողները XNUMX ժամ հասանելի են եղել Ալեքսեյի հաշվում առկա անձնական տվյալներին:
Հայց ընդդեմ VKontakte-ի
Ալեքսեյ Միրոնովը Սանկտ Պետերբուրգի Սմոլնինսկի շրջանային դատարան հայց է ներկայացրել VKontakte սոցիալական ցանցի դեմ և այժմ սպասում է գործի հանձնարարականին։ Նա խնդրում է դատարանին պարտավորեցնել սոցցանցին կատարել սեփական համաձայնագիրը, որը կնքվել է Օգտատիրոջ համաձայնագրի տեսքով և վերադարձնել իրեն մուտք դեպի իր էջ։ Մինչ օրս VKontakte-ի ադմինիստրացիան շարունակում է անհիմն կերպով զրկել Ալեքսեյին իր հաշիվ մուտք գործելու հնարավորությունից, մինչդեռ նա բարեխղճորեն կատարել է Օգտատիրոջ պայմանագրի պայմանները և անհապաղ հայտնել է սոցցանցի տեխնիկական աջակցության ծառայությանը հակերության մասին: VKontakte-ն հրաժարվել է վերականգնել նրա մուտքը էջ՝ վկայակոչելով Օգտատիրոջ պայմանագրի մի կետ, որն արգելում է օգտատերերին փոխանցել իրենց էջի մուտքն ու գաղտնաբառը երրորդ անձանց: VKontakte-ի աջակցության գործակալը, որի հետ զրուցել է Ալեքսեյը, հայտարարել է, որ հեռախոսահամարի վերահասցեավորում կարող եք տեղադրել միայն օպերատորի գրասենյակ այցելելով և ներկայացնելով ձեր անձնագիրը: Փաստորեն, դա այդպես չէ, և դա հաստատել է Ռոսկոմնադզորը՝ ի պատասխան Ալեքսեյի դիմումի։
Սոցիալական ցանցը, խախտելով Օգտագործողի համաձայնագիրը, անհիմն կերպով սահմանափակեց Ալեքսեյի մուտքն իր էջի օգտագործման համար: Սա պարտավորությունների կատարման միակողմանի հրաժարում է՝ խախտելով Արվեստի 1-ին կետը: 30 Ռուսաստանի Դաշնության Քաղաքացիական օրենսգիրք. Նրան զրկելով իր հաշիվ մուտքից՝ Վ.Կ.-ն Ալեքսեյին զրկել է նաև իր հանրային էջը կառավարելու իրավունքից, որը նրա համար կարևոր ոչ նյութական ակտիվ է։ (Մենք գրել ենք հանրային շուկայի՝ որպես թվային սեփականության նոր ձևի և դրանց հետ գործարքներ կնքելու առանձնահատկությունների մասին. )
Անվտանգության անցքեր ՄՏՍ-ի նույնականացման համակարգում
Ձեռնարկատիրոջ անունից խաբեբաների կատարած նամակագրությունը ցույց է տալիս, որ նրանք տեղյակ են եղել նրա գործուղման և գործուղման մասին։ Նրանք զանգահարել են ՄՏՍ-ի կոնտակտային կենտրոն, կարողացել են իրենց ինքնությունը պարզել Ալեքսեյի անունից և ստեղծել զանգերի վերահասցեավորում: Հարձակվողները կարող էին ստանալ նրա անձնագրի տվյալները սոցիալական ինժեներիայի միջոցով: Ալեքսեյ Միրոնովը ֆրանշիզայի հիմնադիրն է, ուստի շատ մարդիկ, ովքեր ներգրավված են ֆրանչայզային հաստատությունների բացման մեջ, կարող են ունենալ նրա անձնագրի տվյալները: ՄՏՍ-ը ներքին հետաքննություն է անցկացրել, սակայն չի կարողացել պարզել, թե կոնկրետ ով է տեղադրել վերահասցեավորումը և ինչպես է հարձակվողը գաղտնալսել SMS-ը: Ընկերությունը չի ընդունել մեղքը, բայց միևնույն ժամանակ Ալեքսեյին շատ տարօրինակ փոխհատուցում է առաջարկել՝ 750 ռուբլի։
Մենք համարեցինք, որ բաժանորդի հեռակա նույնականացումը միայն ճիշտ անձնական տվյալների օգտագործմամբ շատ կասկածելի պրակտիկա է և բողոք գրեցինք Ռոսկոմնադզորին՝ ստուգելու ընկերության այս տեսակի գործընթացի համապատասխանությունը անձնական տվյալների մասին օրենսդրության պահանջներին: Արդյունքում, Ռոսկոմնադզորը կանգնեց ՄՏՍ-ի կողքին՝ նշելով, որ հեռախոսով հեռահար նույնականացումից հետո ճիշտ անձնական տվյալներ տրամադրելով կապի ծառայությունների կառավարումը միանգամայն նորմալ է, և նման չարտոնված գործողություններից պաշտպանության լրացուցիչ մեթոդներ սահմանելը գլխացավանք է հենց բաժանորդի համար, այլ ոչ: ընկերություն . (կարդացեք ամբողջական պատասխանը - )
Ալեքսեյ Միրոնովի հաշիվը կոտրելը ՄՏՍ-ի բաժանորդների տվյալներին չարտոնված մուտքի առաջին դեպքը չէ։ 2018-ին 500 հազար բաժանորդների բազա Նովոսիբիրսկում երկու հարձակվողներ, որոնցից մեկը ընկերության աշխատակից էր։ Փորձել են շտեմարանը վաճառել 1 ռուբլու գնով մեկ բաժանորդի տվյալների համար։
2016 թվականին եղել են Ընդդիմադիր ակտիվիստներ Գեորգի Ալբուրովի և Օլեգ Կոզլովսկու հեռագրային հաշիվները։ Նրանց հաշիվները միացված էին ՄՏՍ-ի համարներին, իսկ կոտրումից քիչ առաջ նրանց SMS ծառայությունն անջատված էր և միացված էր վերահասցեավորումը: Չեն պարզվել նաև ներխուժման հանգամանքները։ 2019 թվականին Օլեգ Կոզլովսկին հայց է ներկայացրել ընդդեմ ՄՏՍ-ի, սակայն դատարանը մերժել է այն։
Տարբեր վեբ ծառայությունների և հավելվածների հաշիվները կոտրելուց պաշտպանելը հենց օգտատիրոջ պարտականությունն է: Այս դիրքորոշումը կիսում են ինչպես հեռահաղորդակցության օպերատորները, այնպես էլ հենց կարգավորող մարմինը, ըստ որի՝ նրանք հրաժարվում են այդ ռիսկերը կիսել սեփական բաժանորդների հետ։
RKN-ն իր պատասխանում այսպես է նկարագրում.
«... ՄՏՍ-ի պայմանների 2.11 կետի համաձայն՝ նույնականացման նպատակով հեռահաղորդակցության օպերատորի բաժանորդներին հնարավորություն է տրվում օգտագործել Code Word՝ Բաժանորդի կողմից սահմանված ձևով սահմանված նշանների (տառեր, թվեր) հաջորդականություն. Օպերատորը, որը ծառայում է Պայմանագիրը կնքելիս Բաժանորդի նույնականացմանը: Բաժանորդը հնարավորություն ունի սահմանել ծածկագիր ինչպես պայմանագիրը կնքելիս (այս դեպքում այն մուտքագրվում է պայմանագրի ձևում՝ պարտադիր մանրամասների հետ միասին), այնպես էլ պայմանագրի կնքման ընթացքում ցանկացած ժամանակ: Չնայած դրան, բաժանորդ Միրոնով Ա.Կ. Ծառայության վիճելի միացումից առաջ ծածկագիրը չի սահմանվել: Նման պայմաններում միայն բաժանորդը, հեռահաղորդակցության օպերատորի հետ նույնականացման ժամանակ սահմանելով ծածկագիր, կարող էր չեզոքացնել նման իրավիճակների անբարենպաստ հետևանքների ռիսկը, սակայն չօգտվեց այս հնարավորությունից»։
Հաշվի վերականգնում. Առաքելությունն անիրագործելի է
Ռոսկոմնադզորի անգործության վերաբերյալ բողոքն արդեն ներկայացվել է դատախազություն։ Մինչդեռ ոստիկանությունը շարունակում է լռել հանցագործության հաղորդման վերաբերյալ։ Հետաքննության արդյունքների մասին ոչ ոք ոչինչ չի հայտնում նաև ընկերության ներսում։ ՄՏՍ-ն իր մեղքը չի ընդունում. Ոչ ոքի չի հետաքրքրում. Միևնույն ժամանակ, VKontakte-ն շարունակում է մերժել հաշվի սեփականատիրոջը մուտքը վերականգնելու համար, քանի դեռ նա ոստիկանությունից չի բերել նշված փաստերը հաստատող քրեական գործ հարուցելու մասին որոշումը և նամակ ՄՏՍ-ից, որը կհաստատի, որ վերահղման ծառայությունը վիճարկելի է: Բավականին ընդարձակ բացատրություններով նամակում պահանջ կա նաև, որ Միրոնովը պետք է նաև տեղեկանք տրամադրի ՄՏՍ-ից այն մասին, որ ինքն է միակ (և ի՞նչ, ինչ-որ տեղ օպերատորները գրանցում են հեռախոսահամարների համատեղ սեփականության իրավունքը) այն հեռախոսահամարը, որի հետ կապված է եղել։ էջը։ Պատասխանը հասավ անցյալ շաբաթվա վերջին, և հաշվի առնելով իրավիճակի փակուղին և «ՎԿոնտակտե»-ի հետ արդեն վեց ամիս համաձայնության գալու անհնարինությունը, մենք դիմեցինք դատարան։
Ինչպես պաշտպանվել ձեզ հաքերից
Հարձակվողները կարող են նաև մուտք գործել հեռախոսահամար կառավարելու այլ խոցելիության միջոցով՝ SS7 արձանագրություն կամ կրկնօրինակ SIM քարտ ձեռք բերելու անբարեխիղճ օպերատորի աշխատակիցների օգնությամբ:
SS7-ը տեխնիկական արձանագրություն է, որն օգտագործվում է հեռահաղորդակցության օպերատորների կողմից: Այն պարունակում է հին և, ըստ երևույթին, անշարժ , որը թույլ է տալիս գաղտնալսել բաժանորդների կողմից զանգի կամ SMS-ի միջոցով փոխանցված տվյալները: SS7-ին հասանելիություն ունեն միայն օպերատորները, սակայն հարձակվողները կարող են ստանալ այն՝ գնելով մուտքը darknet-ից թերզարգացած երկրների օպերատորներից կամ բջջային օպերատորների անբարեխիղճ աշխատակիցների միջոցով: Հարձակումը տեղի է ունենում, երբ հարձակվողը փոխում է բաժանորդի վճարային համակարգի հասցեն իր հասցեով: Ամենից հաճախ հարձակվողները տեղեկացնում են համակարգին, որ բաժանորդը գտնվում է միջազգային ռոումինգում, ուստի պաշտպանվելու ամենահեշտ ձևը միջազգային ռոումինգն անջատելն է, եթե այն չես օգտագործում:
Ալեքսեյ Միրոնովը դեռ չուներ Vkontakte-ի համար կազմաձևված երկու գործոն նույնականացման համակարգ: Այս գործառույթը VK-ում 2014 թվականի հունիսին։ Միգուցե նա կարող էր պաշտպանել նրա հաշիվը կոտրվելուց: Հարկ է հիշել, որ պարզապես հաշիվը հեռախոսահամարին կապելը երկգործոն նույնականացում չէ: — սա հաշիվ մուտք գործելու պաշտպանությունն է, երբ, բացի գաղտնաբառից, կատարվում է ևս մեկ գործողություն: Ամենատարածված տարբերակը SMS կոդը է: Այս մեթոդը ամենահուսալի չէ, քանի որ հարձակվողները կարող են ընդհատել SMS հաղորդագրությունը: Ավելի ապահով տարբերակներ են հիմնական ֆայլը, ժամանակավոր կոդերը, բջջային հավելվածը և ապարատային նշանը:
Ցավոք, մենք ստիպված ենք ապրել մի դարաշրջանում, որտեղ տվյալների անվտանգության ապահովումը դառնում է մեր սեփական խնդիրը: Նրանք հուսով են, որ օպերատորներն ինքնուրույն պատասխանատվություն կկրեն հաքերային հարձակման դեպքում, սակայն, ըստ երևույթին, դա այդպես չէ։ Ինչպես նաև հենվելով Ռոսկոմնադզորի վրա, որն իր տվյալների պաշտպանության պրակտիկայում վաղուց բաժանված է իրականությունից: Անհավանականորեն դժվար է ճեղքել տեղի ոստիկանի «մերժման նյութի» զրահը, ով կստանա ձեր դիմումը նմանատիպ դեպքում, հատկապես սովորական մարդու համար, ով չգիտի, թե ինչպես է աշխատում այս համակարգը: Ի՞նչ է մնում։ Մի մոռացեք թվային հիգիենայի մասին, վստահեք մաթեմատիկային և պաշտպանեք ձեր իրավունքները դատարանում:
Source: www.habr.com