アカウントバトル。 ジェフリーズコーヒーチェーンの創設者がVKontakteを告訴

MTS 顧客識別システムの脆弱性が原因で、詐欺師たちは起業家アレクセイ・ミロノフの VKontakte ページを盗みました。 ソーシャルネットワークは所有者にそれを決して返さず、彼に不可能なことを要求しています。 現在、彼はこの件でVKontakteを訴えている。 彼はデジタル著作権センターの代表を務めています。

アレクセイ・ミロノフはジェフリーズ・コーヒー・チェーンの創設者です。 これはモスクワとその周辺地域にあるコーヒーショップのフランチャイズです。 Alexey は VKontakte で同僚やパートナーと頻繁にコミュニケーションをとり、50 人以上の登録者数を誇る彼のネットワークの非常に人気のある公開ページを維持しました。

2018年XNUMX月、早朝、アレクセイさんが中国出張中、彼のVKontakteページがハッキングされた。 彼は、VKontakte、WhatsApp から SMS を受け取り、さらに MTS オペレーターから別の番号への転送が設定されたというメッセージを受け取りました。 Alexey さんは転送を設定していなかったので、すぐに心配になって MTS に電話しました。 実際にリダイレクトがあったのかどうか、すぐには判断できませんでした。 オペレーターは、アレクセイの電話からわずか XNUMX 時間後に電源を切ることができました。 MTS は、転送がいつどのようにアクティブ化されたのかに関するデータを見つけませんでした。

Alexey さんはソーシャル ネットワークとインスタント メッセンジャーへのアクセスを確認したところ、電話番号を使用してログインできないことがわかりました。 ハッカーは別の番号を彼のアカウントにリンクしました。 WhatsApp を使用すると、問題はすぐに解決されました。 転送をキャンセルした直後、メッセンジャーは正当な所有者のアカウントへのアクセスを回復しました。

AlexeyさんはVKontakteのサポートにページを返却するよう手紙を書き、パスポートの写真を送った。 夕方、現在の所有者がアクセス権を確認したため、申請が拒否されたというSMSを受け取りました。

テクニカル サポートの専門家は、Alexey が自分のページへのアクセスを第三者に自主的に譲渡することができるため、第三者が彼のアクセスを復元することはないと述べました。 アレクセイさんはハッキングの状況を説明したが、MTSからオペレーターがハッキングが発生したことを確認する確認書を送るよう求められた。 Alexey さんは MTS からの手紙を提供してくれました。 その後、フコンタクテ政権はこの書簡が警察によって認証されることを要求した。 手紙と署名者の資格を証明するのは警察の役割ではないため、この要件を満たすのは非常に困難です。 Alexey 氏は、ハッキングされたページについて知っている VKontakte 従業員に個人的に尋ねることによってのみ、ハッキングされたページをブロックすることができました。 ページはまだ返されていません。 Alexey が達成した唯一のことは、アカウントをブロックしたことです。 今では詐欺師も彼自身もそれを使用できません。

VKontakte サポート サービスは別の話です。 許可されたユーザーのみが VKontakte サポート サービスに連絡できます。 つまり、自分のページにアクセスできなくなった場合は、新しいページを作成するか、友人に自分のページへのアクセスを許可してもらい、サポートのメッセージを書く必要があります。 Alexey さんは妻のページからサポート サービスのスペシャリストと連絡を取りましたが、ユーザー契約ではログインとパスワードを他人に譲渡することは許可されていませんでしたが、これは彼らを悩ませませんでした。

ページがハッキングされ、アカウントと公開ページへのアクセスがさらに失われると、明らかにアレクセイのビジネス上の評判と財産上の利益の両方が損なわれました。 これにより、大量の個人情報や商業情報が未知の宛先に漏洩する可能性があったことは言うまでもありません。 実業家の口座を利用した詐欺師らは友人らに多額の送金を依頼した。 ある人が彼らに34ルーブルを送金しました。 攻撃者は、Alexey のアカウントの個人情報に XNUMX 時間アクセスできました。

VKontakteに対する訴訟

アレクセイ・ミロノフさんはソーシャルネットワーク「VKontakte」を相手にサンクトペテルブルクのスモルニンスキー地方裁判所に訴訟を起こし、現在、事件の割り当てを待っている。 彼は裁判所に対し、ユーザー契約の形で締結された独自の契約を履行することをソーシャルネットワークに義務付け、彼のページへのアクセスを返すよう求めています。 今日に至るまで、VKontakte政権はAlexeyさんのアカウントへのアクセスを不当に剥奪し続けているが、一方でAlexeyさんはユーザー契約の条項を誠実に遵守し、ソーシャルネットワークのテクニカルサポートサービスにハッキングについて直ちに通知した。 VKontakte は、ユーザーがページのログイン名とパスワードを第三者に譲渡することを禁止するユーザー契約の条項を理由に、ページへのアクセスを回復することを拒否しました。 Alexey が話をした VKontakte サポート エージェントは、オペレーターのオフィスに行ってパスポートを提示することによってのみ電話番号の転送を設定できると述べました。 実際、これは事実ではなく、アレクセイの訴えに応じてロスコムナゾールによってこれが確認されました。

このソーシャル ネットワークは、ユーザー契約に違反して、Alexey のページの使用へのアクセスを不当に制限しました。 これは義務履行の一方的な拒否であり、第 1 条第 30 項に違反します。 XNUMX ロシア連邦民法。 VKは、アレクセイのアカウントへのアクセスを奪うことで、アレクセイにとって重要な無形資産である公開ページを管理する権利も奪った。 (デジタル資産の新しい形式としての公開市場と、それらとの取引締結の特殊性について書きました) 前)

MTS 識別システムのセキュリティ ホール

起業家に代わって詐欺師が行った通信は、彼らが彼のビジネスと出張について知っていたことを示しています。 彼らは MTS コンタクト センターに電話し、Alexey に代わって自分自身を証明し、電話の転送を設定することができました。 攻撃者はソーシャル エンジニアリングを通じて彼のパスポート データを入手する可能性があります。 アレクセイ・ミロノフはフランチャイズの創設者であるため、フランチャイズ施設の開設に携わる多くの関係者が彼のパスポート情報を知っている可能性があります。 MTS は内部調査を実施しましたが、転送を正確にインストールしたのは誰なのか、攻撃者が SMS をどのように傍受したのかを特定することはできませんでした。 同社は罪を認めなかったが、同時にアレクセイに750ルーブルという非常に奇妙な報酬を提示した。

私たちは、正しい個人データのみを使用して加入者をリモートで特定することは非常に疑わしい行為であると考え、この種の企業プロセスが個人データに関する法律の要件に準拠していることを確認するようロスコムナゾールに苦情を書きました。 その結果、ロスコムナゾール氏はMTSの側に立って、正しい個人データを提供しながら、電話によるリモート識別後の通信サービスを管理するのはごく普通のことであり、この種の不正行為に対する追加の保護方法を確立することは、加入者自身にとっての頭の痛い問題であり、そうではないと指摘した。会社 。 (回答全文を読む - ここで)

アレクセイ・ミロノフのアカウントのハッキングは、MTS 加入者データへの不正アクセスの最初のケースではありません。 2018 年には、500 万人の加入者のデータベースが完成しました。 盗まれた ノボシビルスクでは２人の襲撃者がおり、そのうち１人は会社員だった。 彼らは、1 人の加入者のデータに対して XNUMX ルーブルの価格でデータベースを販売しようとしました。

2016年には ハッキングされた 反政府活動家のゲオルギー・アルブロフ氏とオレグ・コズロフスキー氏の電報アカウント。 彼らのアカウントは MTS 番号にリンクされており、ハッキングの直前に SMS サービスが無効になり、転送が有効になっていました。 侵入の状況も判明していない。 2019年、オレグ・コズロフスキーはMTSに対して訴訟を起こしたが、裁判所はそれを棄却した。

さまざまな Web サービスやアプリケーションのアカウントをハッキングから保護するのはユーザー自身の責任です。 この立場は通信事業者と規制当局自身の両方によって共有されており、それによると、彼らはこれらのリスクを自社の加入者と共有することを拒否しています。

RKN はその回答の中で次のように説明しています。
「...MTS 条件の第 2.11 条によれば、識別の目的で、通信事業者からの加入者には、コード ワード (加入者が確立した形式で指定した記号 (文字、数字) のシーケンス) を使用する機会が与えられます。オペレーター。契約を締結する際に加入者を識別する役割を果たします。 加入者は、契約を締結するとき（この場合、必須の詳細とともに契約フォームに入力されます）と契約の実行中のいつでも、コードワードを設定する機会があります。 それにもかかわらず、加入者のミロノフA.K. コードワードは、サービスの接続が争われる前に設定されていませんでした。 このような状況では、加入者だけが通信事業者との識別中にコードワードを確立することで、そのような状況による悪影響のリスクを無効化できましたが、この機会を利用しませんでした。」

アカウント復旧。 ミッション・インポッシブル

ロスコムナゾール氏の不作為についてはすでに検察庁に告訴状が提出されている。 一方、警察は犯罪報告については沈黙を続けている。 社内でも調査結果については誰も何も報告しません。 MTSは罪を認めていない。 誰も気にしない。 同時に、VKontakte は、指定された事実を立証する刑事訴訟を開始する決議と、リダイレクト サービスが異議を唱える可能性があることを確認する MTS からの書簡を警察から提出するまで、アカウント所有者によるアクセスの回復を拒否し続けます。 かなり詳細な説明が記載された書簡には、ミロノフ氏が、リンクされている電話番号の唯一の（そして、どこかの事業者が電話番号の共有所有権を登録している）ユーザーであることを証明するMTSからの証明書も提出しなければならないという要件もある。ページ。 返答は先週末に届きましたが、状況が行き詰まり、半年以上VKontakteとの合意に達することが不可能であることを考慮して、私たちは法廷に訴えました。

ハッキングから身を守る方法

攻撃者は、SS7 プロトコルや、悪徳オペレーター従業員の助けを借りて重複した SIM カードを入手するなど、他の脆弱性を通じて電話番号の管理にアクセスすることもできます。

SS7 は、通信事業者によって使用される技術プロトコルです。 そこには古くて明らかに削除できないものが含まれています 脆弱性を使用すると、通話中または SMS 経由で加入者によって送信されたデータを傍受できます。 SS7 にアクセスできるのは通信事業者だけですが、攻撃者は発展途上国の通信事業者から、またはモバイル通信事業者の悪徳従業員を通じてダークネット上のアクセスを購入することで SSXNUMX を入手できます。 攻撃は、攻撃者が加入者の請求システムのアドレスを自分のアドレスに変更するときに発生します。 ほとんどの場合、攻撃者は加入者が国際ローミング中であることをシステムに通知するため、身を守る最も簡単な方法は、国際ローミングを使用しない場合は国際ローミングを無効にすることです。

Alexey Mironov 氏は、まだ Vkontakte 用に XNUMX 要素認証システムを構成していませんでした。 この機能 出現した 2014年XNUMX月にVKで。 おそらく彼女は彼のアカウントをハッキングから守ることができたでしょう。 アカウントを電話番号にリンクするだけでは XNUMX 要素認証ではないことを覚えておく価値があります。 二要素認証 — これは、パスワードに加えて別のアクションが実行された場合のアカウントへのログインの保護です。 最も一般的なオプションは SMS コードです。 攻撃者が SMS メッセージを傍受する可能性があるため、この方法は最も信頼性が高いというわけではありません。 より安全なオプションは、キー ファイル、一時コード、モバイル アプリケーション、ハードウェア トークンです。

残念ながら、私たちはデータのセキュリティの確保が私たち自身の問題になる時代に生きざるを得ません。 彼らは、ハッキングが発生した場合、オペレーターが独自に責任を負うことを望んでいますが、どうやらそうではありません。 同様に、データ保護慣行において現実から長い間乖離してきたロスコムナゾールにも依存している。 同様の事件であなたの申請を受け取る地元の警察官の「拒否材料」の鎧を突破することは、特にこのシステムがどのように機能するかを知らない一般人にとっては信じられないほど困難です。 残り物？ デジタル衛生を忘れずに、数学を信頼し、法廷で自分の権利を守りましょう。

出所： habr.com