Svindlarar stálu VKontakte síðu frumkvöðulsins Alexei Mironov vegna varnarleysis í MTS auðkenningarkerfi viðskiptavina. Samfélagsnetið skilaði því aldrei til eiganda síns og heimtar hið ómögulega af honum. Nú höfðar hann mál vegna þessa á VKontakte. Hagsmunir hans eru fulltrúar Miðstöðvar stafrænna réttinda.
Alexey Mironov er stofnandi Jeffrey's Coffee keðjunnar. Þetta er sérleyfi kaffihúsa í Moskvu og héruðum. Alexey hafði oft samskipti við samstarfsmenn og samstarfsaðila á VKontakte og leiddi mjög vinsælan almenning á neti sínu þar, með meira en 50 áskrifendur.
Í nóvember 2018, snemma morguns, þegar Alexei var í viðskiptaferð í Kína, var brotist inn á VKontakte síðu hans. Hann fékk SMS frá VKontakte, WhatsApp og skilaboð frá MTS símafyrirtækinu, sem sagði að framsending í annað númer væri sett upp. Aleksey setti ekki upp áframsendingu, svo hann varð strax áhyggjufullur og hringdi í MTS. Þeir ákváðu ekki einu sinni strax að það væri raunverulega tilvísun. Rekstraraðili gat slökkt aðeins tveimur tímum eftir að Alexey hringdi. MTS fann ekki gögn um hvernig og hvenær símtalaflutningur var tengdur.
Alexey athugaði aðgang að samfélagsnetum og spjallmiðlum og sá að hann gat ekki lengur slegið þau inn með símanúmeri. Tölvuþrjótarnir tengdu annað númer við reikninga hans. Með WhatsApp var málið leyst fljótt. Strax eftir að afturvísuninni var hætt, endurheimti boðberinn aðgang að reikningnum til réttra eiganda.
Alexey skrifaði til stuðnings VKontakte með beiðni um að skila síðunni og sendi vegabréfsmynd. Um kvöldið fékk hann SMS um að umsókninni væri hafnað þar sem núverandi eigandi staðfesti umgengnisréttinn.
Sérfræðingur í tækniaðstoð sagði að Alexei gæti af fúsum og frjálsum vilja flutt aðgang að síðu sinni til þriðja aðila, svo þeir muni ekki endurheimta aðgang að honum. Alexey útskýrði innbrotsástandið en hann var beðinn um að senda staðfestingarbréf frá MTS, þar sem símafyrirtækið myndi staðfesta að innbrot hefði átt sér stað. Aleksey lagði fram bréf frá MTS. Eftir það krafðist stjórn VKontakte að þetta bréf yrði vottað af lögreglu. Slíkri kröfu er mjög erfitt að uppfylla, því það er ekki hlutverk lögreglunnar að votta bréf og skilríki undirritaðs. Aleksey gat aðeins lokað á tölvusnáða síðuna með því að spyrja persónulega kunnuglega starfsmenn VKontakte um hana. Síðan hefur ekki verið skilað enn. Það eina sem Alexey náði var að loka reikningnum. Nú geta hvorki svindlarar né hann sjálfur notað það.
Stuðningsþjónusta VKontakte er önnur saga. Aðeins viðurkenndir notendur geta haft samband við þjónustudeild VKontakte. Þetta þýðir að ef þú hefur misst aðgang að síðunni þinni verður þú að búa til nýja eða biðja vini um að veita aðgang að síðum sínum til að geta skrifað til stuðnings. Alexey skrifaði við stuðningsþjónustusérfræðinga af síðu eiginkonu sinnar og þetta ruglaði þá ekki, þó að notendasamningurinn leyfi ekki að flytja notandanafnið og lykilorðið til einhvers annars.
Innbrotið á síðuna og frekari tap á aðgangi að reikningnum og almenningi skaðaði augljóslega bæði orðspor Alexei og eignarhagsmuni hans. Svo ekki sé minnst á þá staðreynd að þetta leyfði verulegu magni af persónulegum og viðskiptalegum upplýsingum að leka til enginn veit hvar. Svindlarar af reikningi kaupsýslumannsins báðu vini sína um að millifæra til sín háar fjárhæðir. Einn maður flutti 34 þúsund rúblur til þeirra. Árásarmennirnir höfðu aðgang að persónuupplýsingum á reikningi Alexey í XNUMX klukkustundir.
Málsókn gegn VKontakte
Alexey Mironov höfðaði mál gegn samfélagsmiðlinum VKontakte fyrir héraðsdómi Smolninsky í Sankti Pétursborg og bíður nú skipunar málsins. Hann biður dómstólinn um að skylda samfélagsnetið til að uppfylla eigin samning, sem gerður er í formi notendasamnings, og að hann skili aðgangi að síðu þess aftur. Hingað til hefur stjórn VKontakte haldið áfram að svipta Alexei aðgangi að reikningi sínum á óeðlilegan hátt, á meðan hann fylgdi dyggilega skilmálum notendasamningsins og upplýsti strax tæknilega aðstoð samfélagsnetsins um hakkið. VKontakte neitaði að endurheimta aðgang hans að síðunni og vitnaði í ákvæði í notendasamningnum sem bannar notendum að flytja innskráningu og lykilorð síðunnar til þriðja aðila. Stuðningsfulltrúi VKontakte, sem Alexey talaði við, sagði að þú getur aðeins sett upp framsendingu símanúmera þegar þú heimsækir skrifstofu símafyrirtækisins og framvísar vegabréfinu þínu. Í raun er þetta ekki raunin og Roskomnadzor staðfesti þetta sem svar við áfrýjun Alexei.
Samfélagsnetið, í bága við notendasamninginn, takmarkaði á óeðlilegan hátt aðgang Alexey að notkun síðu hans. Um er að ræða einhliða synjun um að uppfylla skyldur sem brýtur í bága við 1. mgr. 30 í borgaralögum Rússlands. Með því að svipta hann aðgang að reikningnum svipti VK Alexei einnig rétti til að stjórna almenningi sem hann á, sem er mikilvæg óefnisleg eign fyrir hann. (Við skrifuðum um opinbera markaðinn sem nýtt form stafrænnar eignar og sérkenni þess að ljúka viðskiptum við þá )
Öryggisgöt í MTS auðkenningarkerfinu
Samkvæmt bréfaskiptum svindlaranna fyrir hönd athafnamannsins er ljóst að þeir vissu um viðskipta- og viðskiptaferð hans. Þeir hringdu í MTS tengiliðamiðstöðina, gátu auðkennt sig fyrir hönd Alexei og sett upp símtalaflutning. Árásarmennirnir gætu hafa fengið upplýsingar um vegabréf hans í gegnum félagslega verkfræði. Alexey Mironov er stofnandi sérleyfisins, svo margir sem taka þátt í að opna sérleyfisstofnanir gætu haft vegabréfagögn hans. MTS framkvæmdi innri rannsókn, en gat ekki komist að því hver nákvæmlega setti framsendinguna og hvernig árásarmaðurinn hleraði SMS. Fyrirtækið viðurkenndi ekki sekt, en bauð Alexei á sama tíma mjög undarlegar bætur - 750 rúblur.
Við töldum að það væri mjög vafasöm venja að auðkenna áskrifanda með því að nota aðeins réttar persónuupplýsingar og lögðum fram kvörtun til Roskomnadzor til að sannreyna að slíkt ferli fyrirtækisins uppfylli kröfur persónuupplýsingalöggjafar. Fyrir vikið tók Roskomnadzor sér hlið MTS og benti á að það væri alveg eðlilegt að stjórna samskiptaþjónustu eftir fjarkennslu í síma og veita réttar persónuupplýsingar og að koma á viðbótaraðferðum til varnar gegn slíkum óheimilum aðgerðum er höfuðverkur fyrir áskrifandann sjálfan, en ekki fyrir fyrirtækið. (lestu svarið í heild sinni - )
Innbrotið á reikning Alexey Mironov er ekki fyrsta tilvikið um óviðkomandi aðgang að gögnum MTS áskrifenda. Árið 2018, gagnagrunnur um 500 þúsund áskrifendur í Novosibirsk, tveir boðflennir, annar þeirra var starfsmaður fyrirtækisins. Þeir reyndu að selja gagnagrunninn á verði 1 rúbla fyrir gögn eins áskrifanda.
Árið 2016 voru Símskeyti frásagnir stjórnarandstöðunnar Georgy Alburov og Oleg Kozlovsky. Reikningar þeirra voru bundnir við MTS-númer og skömmu fyrir innbrotið var SMS-þjónustan óvirk á þeim og áframsending virkjuð. Ekki var heldur sýnt fram á aðstæður innbrotsins. Árið 2019 höfðaði Oleg Kozlovsky mál gegn MTS, en dómstóllinn hafnaði því.
Það er á ábyrgð notandans að vernda reikninga ýmissa vefþjónustu og forrita gegn innbroti. Þessari stöðu deila bæði fjarskiptafyrirtækjum og eftirlitsstofnunum sjálfum, samkvæmt henni neita þeir að deila þessari áhættu með eigin áskrifanda.
RKN lýsir þessu í svari sínu þannig:
„... Samkvæmt ákvæði 2.11 í MTS-skilmálum er áskrifendum til auðkenningar hjá fjarskiptafyrirtækinu gefinn kostur á að nota kóðaorðið - röð stafa (stafa, tölustafa) sem áskrifandi gefur til kynna á því formi sem sett er af Rekstraraðili, sem þjónar til að auðkenna áskrifandann við framkvæmd samningsins. Áskrifandinn hefur tækifæri til að setja kóðaorð bæði við gerð samnings (í þessu tilviki er það sett inn á samningsformið ásamt lögboðnum upplýsingum) og hvenær sem er meðan á framkvæmd samningsins stendur. Þrátt fyrir þetta hefur áskrifandinn Mironov A.K. kóðaorðið þar til umdeild tenging við þjónustuna var ekki komin á. Undir slíkum kringumstæðum gæti aðeins áskrifandinn, með því að koma sér upp kóðaorði við auðkenningu við fjarskiptafyrirtækið, óvirkt hættuna á neikvæðum afleiðingum slíkra aðstæðna, en nýtti ekki þetta tækifæri.
Endurheimt reiknings. ómögulegt verkefni
Kæra vegna aðgerðaleysis Roskomnadzor hefur þegar verið lögð fram hjá saksóknara. Á meðan þegir lögreglan um glæpatilkynninguna. Enginn greinir heldur frá niðurstöðum rannsóknarinnar innan fyrirtækisins. MTS viðurkennir enga sök. Öllum er sama. Á sama tíma heldur VKontakte áfram að neita eiganda reikningsins um að endurheimta aðgang að honum þar til hann færir frá lögreglu ályktun um upphaf sakamáls með staðfestingu á tilgreindum staðreyndum og bréf frá MTS, þar sem verður staðfesting á höfnun símtalaflutningsþjónustunnar. Í bréfi með frekar löngum skýringum er einnig gerð krafa um að Mironov þurfi einnig að leggja fram vottorð frá MTS um að hann sé eini notandinn (og hvað, skrá símafyrirtæki sameign símanúmera einhvers staðar?) Notandi símanúmersins sem var tengt við síðuna. Svarið kom í lok síðustu viku og í ljósi þess að ástandið var öngþveiti og ómögulegt að ná samkomulagi við VKontakte í sex mánuði fórum við fyrir dómstóla.
Hvernig á að vernda þig gegn reiðhestur
Árásarmenn geta einnig fengið aðgang að símanúmeri í gegnum aðra veikleika - SS7 samskiptareglur eða fá afrit SIM-korts með hjálp óprúttna starfsmanna símafyrirtækisins.
SS7 er tæknileg samskiptaregla notuð af fjarskiptafyrirtækjum. Það inniheldur gamalt og virðist ekki hægt að fjarlægja , sem gerir þér kleift að hlera gögn sem send eru af áskrifendum meðan á símtali stendur eða í SMS. Aðeins rekstraraðilar hafa aðgang að SS7, en árásarmenn geta fengið hann með því að kaupa aðgang á myrka vefnum frá rekstraraðilum í vanþróuðum löndum eða í gegnum óprúttna starfsmenn farsímafyrirtækja. Árásin á sér stað þegar tölvuþrjótur breytir heimilisfangi innheimtukerfis áskrifanda í hans eigið heimilisfang. Oftast láta árásarmenn kerfið vita að áskrifandinn sé í alþjóðlegu reiki, þannig að auðveldasta leiðin til að verja þig er að slökkva á alþjóðlegu reiki ef þú ert ekki að nota það.
Aleksey Mironov var heldur ekki með tveggja þátta auðkenningarkerfi sett upp fyrir Vkontakte. Þvílík aðgerð VK í júní 2014. Kannski gæti hún verndað reikninginn hans fyrir því að verða fyrir tölvusnápur. Það er þess virði að muna að einfaldlega að tengja reikning við símanúmer er ekki tvíþætt auðkenning. - þetta er verndun þess að slá inn reikning þegar, auk lykilorðsins, er framkvæmt ein aðgerð í viðbót. Algengasta valkosturinn er SMS kóði. Þessi aðferð er ekki sú áreiðanlegasta þar sem árásarmenn geta stöðvað SMS skilaboðin. Öruggari valkostir eru lykilskrá, tímabundnir kóðar, farsímaforrit og vélbúnaðarlykill.
Því miður neyðumst við til að lifa á tímum þar sem gagnavernd verður okkar eigið vandamál. Þeir vona að rekstraraðilarnir beri einir ábyrgð ef innbrot verður, greinilega ekki nauðsynlegt. Auk þess að treysta á Roskomnadzor, sem hefur lengi verið úr tengslum við raunveruleikann í gagnaverndarstarfi sínu. Það er ótrúlega erfitt að brjótast í gegnum herklæði „hafna efnisins“ héraðslögreglumannsins sem fær send umsókn þína vegna svipaðs máls, sérstaklega fyrir venjulegan mann sem veit ekki hvernig þetta kerfi virkar. Hvað er eftir? Ekki gleyma stafrænu hreinlæti, treystu stærðfræði og verja rétt þinn fyrir dómstólum.
Heimild: www.habr.com