Penipu mencuri halaman VKontakte pengusaha Alexei Mironov karena kerentanan dalam sistem identifikasi pelanggan MTS. Jejaring sosial tidak pernah mengembalikannya kepada pemiliknya dan menuntut hal yang mustahil darinya. Sekarang dia menggugat VKontakte untuk ini. Dia diwakili oleh Pusat Hak Digital.
Alexei Mironov adalah pendiri jaringan Kopi Jeffrey. Ini adalah waralaba kedai kopi di Moskow dan sekitarnya. Alexei sering berkomunikasi dengan kolega dan mitranya di VKontakte dan mengelola halaman publik yang sangat populer untuk jaringannya di sana, yang berjumlah lebih dari 50 pelanggan.
Pada November 2018, dini hari, ketika Alexei sedang dalam perjalanan bisnis di Tiongkok, halaman VKontakte miliknya diretas. Dia menerima SMS dari VKontakte, WhatsApp dan pesan dari operator MTS, yang menyatakan bahwa penerusan ke nomor lain telah diatur. Alexei tidak mengatur penerusan, jadi dia langsung khawatir dan menelepon MTS. Mereka bahkan tidak segera menentukan bahwa memang ada pengalihan. Operator dapat mematikannya hanya dua jam setelah panggilan Alexei. MTS tidak pernah menemukan data bagaimana dan kapan penerusan diaktifkan.
Alexei memeriksa akses ke jejaring sosial dan pesan instan dan melihat bahwa dia tidak dapat lagi masuk ke jejaring sosial tersebut menggunakan nomor teleponnya. Para peretas menghubungkan nomor lain ke akunnya. Dengan WhatsApp masalah ini teratasi dengan cepat. Segera setelah pembatalan penerusan, pengirim pesan mengembalikan akses ke akun kepada pemilik yang sah.
Alexei menulis ke dukungan VKontakte meminta untuk mengembalikan halaman tersebut dan mengirimkan foto paspornya. Sore harinya ia menerima SMS bahwa permohonannya ditolak, karena pemilik saat ini telah mengkonfirmasi hak akses.
Spesialis dukungan teknis menyatakan bahwa Alexei dapat secara sukarela mentransfer akses ke halamannya kepada pihak ketiga, sehingga mereka tidak akan memulihkan aksesnya. Alexei menjelaskan situasi peretasan tersebut, namun ia diminta mengirimkan surat konfirmasi dari MTS, di mana operator akan mengonfirmasi bahwa telah terjadi peretasan. Alexei memberikan surat dari MTS. Setelah itu, administrasi VKontakte meminta surat tersebut disertifikasi oleh polisi. Persyaratan ini sangat sulit dipenuhi karena bukan fungsi polisi untuk mengesahkan surat dan surat kepercayaan penandatangan. Alexei dapat memblokir halaman yang diretas hanya dengan bertanya secara pribadi kepada karyawan VKontakte bahwa dia mengetahuinya. Halaman tersebut belum dikembalikan. Satu-satunya hal yang dicapai Alexei adalah memblokir akunnya. Sekarang baik penipu maupun dia sendiri tidak dapat menggunakannya.
Layanan dukungan VKontakte adalah cerita yang berbeda. Hanya pengguna resmi yang dapat menghubungi layanan dukungan VKontakte. Artinya, jika Anda kehilangan akses ke halaman Anda, Anda harus membuat halaman baru atau meminta teman Anda untuk memberikan akses ke halaman mereka agar dapat menulis dukungan. Alexei berkorespondensi dengan spesialis layanan dukungan dari halaman istrinya, dan ini tidak mengganggu mereka, meskipun Perjanjian Pengguna tidak mengizinkan transfer login dan kata sandi ke orang lain.
Peretasan halaman dan hilangnya akses lebih lanjut ke akun dan halaman publik jelas merusak reputasi bisnis dan kepentingan properti Alexei. Belum lagi hal ini memungkinkan sejumlah besar informasi pribadi dan komersial bocor ke tujuan yang tidak diketahui. Penipu dari akun pengusaha tersebut meminta teman-temannya untuk mentransfer uang dalam jumlah besar. Satu orang mentransfer 34 ribu rubel kepada mereka. Para penyerang memiliki akses terhadap informasi pribadi dari akun Alexei selama XNUMX jam.
Gugatan terhadap VKontakte
Alexei Mironov mengajukan gugatan terhadap jejaring sosial VKontakte ke Pengadilan Distrik Smolninsky St. Petersburg dan sekarang menunggu penugasan kasus tersebut. Dia meminta pengadilan untuk mewajibkan jejaring sosial untuk memenuhi perjanjiannya sendiri, yang dibuat dalam bentuk Perjanjian Pengguna, dan mengembalikan akses ke halamannya. Hingga hari ini, administrasi VKontakte terus mencabut akses Alexei ke akunnya secara tidak wajar, sementara ia dengan hati-hati mematuhi ketentuan Perjanjian Pengguna dan segera memberi tahu layanan dukungan teknis jejaring sosial tentang peretasan tersebut. VKontakte menolak memulihkan aksesnya ke halaman tersebut, dengan alasan klausul dalam Perjanjian Pengguna yang melarang pengguna mentransfer login dan kata sandi halaman mereka ke pihak ketiga. Agen dukungan VKontakte yang berbicara dengan Alexei menyatakan bahwa Anda dapat mengatur penerusan nomor telepon hanya dengan mengunjungi kantor operator dan menunjukkan paspor Anda. Faktanya, hal ini tidak terjadi, dan hal ini dikonfirmasi oleh Roskomnadzor sebagai tanggapan atas permohonan Alexei.
Jejaring sosial tersebut, yang melanggar Perjanjian Pengguna, secara tidak wajar membatasi akses Alexei untuk menggunakan halamannya. Ini adalah penolakan sepihak untuk memenuhi kewajiban yang melanggar paragraf 1 Seni. 30 KUH Perdata Federasi Rusia. Dengan mencabut aksesnya ke akunnya, VK juga mencabut hak Alexei untuk mengelola halaman publiknya, yang merupakan aset tidak berwujud yang penting baginya. (Kami menulis tentang pasar publik sebagai bentuk baru properti digital dan kekhasan dalam melakukan transaksi dengannya )
Lubang keamanan pada sistem identifikasi MTS
Korespondensi yang dilakukan oleh para penipu atas nama pengusaha menunjukkan bahwa mereka mengetahui tentang bisnis dan perjalanan bisnisnya. Mereka menelepon pusat kontak MTS, dapat mengidentifikasi diri mereka atas nama Alexei dan mengatur penerusan panggilan. Penyerang bisa mendapatkan data paspornya melalui rekayasa sosial. Alexei Mironov adalah pendiri waralaba, sehingga banyak orang yang terlibat dalam pembukaan perusahaan waralaba dapat mengetahui informasi paspornya. MTS melakukan penyelidikan internal, tetapi tidak dapat menentukan siapa sebenarnya yang memasang penerusan dan bagaimana penyerang mencegat SMS tersebut. Perusahaan tidak mengakui kesalahannya, tetapi pada saat yang sama menawarkan kompensasi yang sangat aneh kepada Alexei - 750 rubel.
Kami menganggap bahwa mengidentifikasi pelanggan dari jarak jauh hanya menggunakan data pribadi yang benar adalah praktik yang sangat meragukan dan menulis keluhan kepada Roskomnadzor untuk memverifikasi kepatuhan proses perusahaan semacam ini dengan persyaratan undang-undang tentang data pribadi. Akibatnya, Roskomnadzor memihak MTS, menunjukkan bahwa mengelola layanan komunikasi setelah identifikasi jarak jauh melalui telepon sambil memberikan data pribadi yang benar adalah hal yang normal, dan menetapkan metode perlindungan tambahan terhadap tindakan tidak sah semacam ini membuat pusing pelanggan itu sendiri, bukan perusahaan. (baca jawaban lengkap - )
Peretasan akun Alexei Mironov bukanlah kasus pertama akses tidak sah ke data pelanggan MTS. Pada tahun 2018, database 500 ribu pelanggan di Novosibirsk ada dua penyerang, salah satunya adalah karyawan perusahaan. Mereka mencoba menjual database dengan harga 1 rubel untuk data satu pelanggan.
Pada tahun 2016 ada Akun Telegram aktivis oposisi Georgy Alburov dan Oleg Kozlovsky. Akun mereka ditautkan ke nomor MTS, dan sesaat sebelum peretasan, layanan SMS mereka dinonaktifkan dan penerusan diaktifkan. Keadaan pembobolan juga belum diketahui. Pada tahun 2019, Oleg Kozlovsky mengajukan gugatan terhadap MTS, tetapi pengadilan menolaknya.
Melindungi akun berbagai layanan web dan aplikasi dari peretasan adalah tanggung jawab pengguna itu sendiri. Posisi ini dimiliki oleh operator telekomunikasi dan regulator itu sendiri, yang menurutnya mereka menolak untuk membagi risiko ini dengan pelanggan mereka sendiri.
RKN menggambarkannya sebagai berikut dalam tanggapannya:
“... Menurut klausul 2.11 Ketentuan MTS, untuk tujuan identifikasi, pelanggan dari operator telekomunikasi diberikan kesempatan untuk menggunakan Kata Kode - rangkaian simbol (huruf, angka) yang ditentukan oleh Pelanggan dalam bentuk yang ditetapkan oleh Operator, yang berfungsi untuk mengidentifikasi Pelanggan pada saat melaksanakan Perjanjian. Pelanggan mempunyai kesempatan untuk menetapkan kata sandi baik pada saat membuat perjanjian (dalam hal ini dimasukkan dalam formulir perjanjian beserta rincian wajibnya) dan kapan saja selama pelaksanaan perjanjian. Meskipun demikian, pelanggan Mironov A.K. kata kode tidak disetel sebelum koneksi layanan yang disengketakan. Dalam keadaan seperti itu, hanya pelanggan, dengan membuat kata sandi selama identifikasi dengan operator telekomunikasi, yang dapat menetralisir risiko akibat buruk dari situasi tersebut, namun tidak memanfaatkan peluang ini.”
Pemulihan Akun. Misi yang mustahil
Keluhan tentang kelambanan Roskomnadzor telah diajukan ke kantor kejaksaan. Sementara itu, polisi masih bungkam atas laporan kejahatan tersebut. Tidak ada yang melaporkan apa pun di dalam perusahaan tentang hasil penyelidikan. MTS tidak mengaku bersalah. Tidak ada yang peduli. Pada saat yang sama, VKontakte terus menolak pemilik akun untuk memulihkan aksesnya sampai ia mengeluarkan Keputusan dari polisi untuk memulai kasus pidana yang menetapkan fakta-fakta ini dan surat dari MTS, yang akan mengkonfirmasi bahwa layanan pengalihan dapat digugat. Dalam surat dengan penjelasan yang cukup luas tersebut, juga terdapat persyaratan bahwa Mironov juga harus memberikan sertifikat dari MTS bahwa dia adalah satu-satunya (dan apa, di suatu tempat operator mendaftarkan kepemilikan bersama atas nomor telepon?) pengguna nomor telepon yang ditautkan ke halaman. Tanggapannya tiba pada akhir minggu lalu, dan mengingat situasi yang menemui jalan buntu dan ketidakmungkinan mencapai kesepakatan dengan VKontakte selama enam bulan sekarang, kami pergi ke pengadilan.
Bagaimana melindungi diri Anda dari peretasan
Penyerang juga dapat memperoleh akses untuk mengelola nomor telepon melalui kerentanan lain - protokol SS7 atau mendapatkan duplikat kartu SIM dengan bantuan karyawan operator yang tidak bermoral.
SS7 adalah protokol teknis yang digunakan oleh operator telekomunikasi. Ini berisi yang lama dan tampaknya tidak bisa dilepas , yang memungkinkan Anda mencegat data yang dikirimkan oleh pelanggan selama panggilan atau melalui SMS. Hanya operator yang memiliki akses ke SS7, namun penyerang bisa mendapatkannya dengan membeli akses di darknet dari operator di negara-negara terbelakang atau melalui karyawan operator seluler yang tidak bermoral. Serangan terjadi ketika penyerang mengubah alamat sistem penagihan pelanggan ke alamatnya sendiri. Paling sering, penyerang memberi tahu sistem bahwa pelanggan berada dalam roaming internasional, jadi cara termudah untuk melindungi diri Anda adalah dengan menonaktifkan roaming internasional jika Anda tidak menggunakannya.
Alexei Mironov belum memiliki sistem otentikasi dua faktor yang dikonfigurasi untuk Vkontakte. Fungsi ini di VK pada bulan Juni 2014. Mungkin dia bisa melindungi akunnya agar tidak diretas. Perlu diingat bahwa menautkan akun ke nomor telepon bukanlah autentikasi dua faktor. — ini adalah perlindungan login ke akun ketika, selain kata sandi, tindakan lain dilakukan. Opsi paling umum adalah kode SMS. Metode ini bukan yang paling dapat diandalkan, karena penyerang dapat mencegat pesan SMS. Opsi yang lebih aman adalah file kunci, kode sementara, aplikasi seluler, dan token perangkat keras.
Sayangnya, kita terpaksa hidup di era di mana memastikan keamanan data menjadi masalah tersendiri. Mereka berharap operator akan secara mandiri memikul tanggung jawab jika terjadi peretasan, namun ternyata tidak demikian. Serta mengandalkan Roskomnadzor yang telah lama lepas dari kenyataan dalam praktik perlindungan datanya. Sangat sulit untuk menembus pelindung “bahan penolakan” dari petugas polisi setempat yang akan menerima lamaran Anda dalam kasus serupa, terutama bagi orang biasa yang tidak mengetahui cara kerja sistem ini. Apa yang tersisa? Jangan lupakan kebersihan digital, percayalah pada matematika, dan pertahankan hak Anda di pengadilan.
Sumber: www.habr.com