Penipu nyolong kaca VKontakte pengusaha Alexey Mironov amarga kerentanan ing sistem identifikasi pelanggan MTS. Jaringan sosial kasebut ora nate bali menyang pemilike lan nuntut sing ora mungkin saka dheweke. Saiki dheweke nuntut VKontakte babagan iki. Dheweke diwakili dening Pusat Hak Digital.
Alexey Mironov minangka pangadeg rantai Kopi Jeffrey. Iki minangka franchise warung kopi ing Moskow lan wilayah. Alexey kerep komunikasi karo kolega lan mitra ing VKontakte lan njaga kaca umum sing populer banget kanggo jaringan ing kana, kanthi jumlah luwih saka 50 pelanggan.
Ing November 2018, esuk, nalika Alexey lagi lelungan bisnis ing China, kaca VKontakte dheweke diretas. Dheweke nampa SMS saka VKontakte, WhatsApp lan pesen saka operator MTS, sing nyatakake yen diterusake menyang nomer liyane wis disetel. Alexey ora nyetel nerusake, supaya langsung dadi kuwatir lan nelpon MTS. Dheweke ora langsung nemtokake manawa ana pangalihan. Operator bisa mateni mung rong jam sawise telpon Alexey. MTS ora nate nemokake data babagan carane lan kapan penerusan diaktifake.
Alexey mriksa akses menyang jaringan sosial lan utusan cepet lan weruh yen dheweke ora bisa mlebu maneh nggunakake nomer telpon. Peretas nyambungake nomer liyane menyang akun kasebut. Kanthi WhatsApp, masalah kasebut dirampungake kanthi cepet. Sanalika sawise mbatalake nerusake, utusan mbalekake akses menyang akun menyang pemilik sah.
Alexey nulis menyang dhukungan VKontakte njaluk bali kaca kasebut lan ngirim foto paspor. Ing wayah sore dheweke nampa SMS yen aplikasi kasebut ditolak, amarga pemilik saiki wis dikonfirmasi hak akses.
Spesialis dhukungan teknis nyatakake yen Alexey bisa kanthi sukarela nransfer akses menyang kaca kasebut menyang pihak katelu, mula dheweke ora bakal mulihake akses kasebut. Alexey nerangake kahanan hacking, nanging dijaluk ngirim surat konfirmasi saka MTS, ing ngendi operator bakal ngonfirmasi yen hack wis kedadeyan. Alexey nyedhiyakake layang saka MTS. Sawise iki, administrasi VKontakte nuntut supaya surat iki disertifikasi dening polisi. Persyaratan iki angel banget kanggo ngrampungake amarga dudu tugas polisi kanggo menehi sertifikat surat lan kredensial sing menehi tandha. Alexey bisa mblokir kaca sing disusupi mung kanthi takon marang karyawan VKontakte sing ngerti babagan iki. Kaca durung bali. Siji-sijine perkara sing ditindakake Alexey yaiku mblokir akun kasebut. Saiki, scammers utawa dheweke dhewe ora bisa nggunakake.
Layanan dhukungan VKontakte minangka crita sing beda. Mung pangguna sing sah sing bisa ngubungi layanan dhukungan VKontakte. Iki tegese yen sampeyan kelangan akses menyang kaca sampeyan, sampeyan kudu nggawe kaca anyar utawa njaluk kanca sampeyan menehi akses menyang kaca kasebut supaya bisa nulis dhukungan. Alexey sesambungan karo spesialis layanan dhukungan saka kaca garwane, lan iki ora ngganggu dheweke, sanajan Perjanjian Panganggo ora ngidini nransfer login lan sandhi menyang wong liya.
Peretasan kaca lan mundhut akses menyang akun lan kaca umum kanthi temenan ngrusak reputasi bisnis Alexey lan kapentingan properti. Ora kanggo sebutno sing iki ngidini jumlah pinunjul saka informasi pribadhi lan komersial kanggo bocor kanggo tujuan dingerteni. Penipu saka akun pengusaha njaluk kanca-kancane nransfer dhuwit akeh. Siji wong ditransfer 34 ewu rubel. Para panyerang nduweni akses menyang informasi pribadhi saka akun Alexey sajrone XNUMX jam.
Tuntutan marang VKontakte
Alexey Mironov ngajokake tuntutan hukum marang jaringan sosial VKontakte ing Pengadilan Distrik Smolninsky St. Petersburg lan saiki ngenteni penugasan kasus kasebut. Dheweke njaluk pengadilan supaya mewajibake jaringan sosial kanggo nepaki persetujuan dhewe, rampung ing wangun Persetujuan Panganggo, lan bali akses menyang kaca. Nganti saiki, administrasi VKontakte terus nyingkirake Alexey saka akses menyang akun kasebut kanthi ora wajar, nalika dheweke kanthi ati-ati netepi syarat-syarat Perjanjian Pengguna lan langsung ngandhani layanan dhukungan teknis jaringan sosial babagan hack kasebut. VKontakte ora gelem mulihake akses menyang kaca kasebut, kanthi nyebutake klausa ing Persetujuan Panganggo sing nglarang pangguna ngirim login lan sandhi kaca menyang pihak katelu. Agen dhukungan VKontakte sing diomongake Alexey nyatakake yen sampeyan bisa nyetel nomer telpon sing diterusake mung kanthi ngunjungi kantor operator lan menehi paspor. Nyatane, iki ora, lan iki dikonfirmasi dening Roskomnadzor kanggo nanggepi banding Alexey.
Jaringan sosial, sing nglanggar Perjanjian Panganggo, ora bisa diwatesi akses Alexey kanggo nggunakake kaca kasebut. Iki minangka penolakan sepihak kanggo nepaki kewajiban, nglanggar paragraf 1 Art. 30 Kode Sipil Federasi Rusia. Kanthi nyuda akses menyang akun kasebut, VK uga nyuda hak Alexey kanggo ngatur kaca umume, sing dadi aset intangible sing penting kanggo dheweke. (Kita nulis babagan pasar umum minangka wangun anyar saka properti digital lan keanehan saka transaksi karo wong-wong mau. )
Bolongan keamanan ing sistem identifikasi MTS
Korespondensi sing ditindakake dening scammers atas jenenge pengusaha kasebut nuduhake yen dheweke ngerti babagan bisnis lan perjalanan bisnis. Padha disebut pusat kontak MTS, padha bisa kanggo ngenali piyambak atas jenenge Alexey lan nyetel telpon nerusake. Penyerang bisa entuk data paspor liwat teknik sosial. Alexey Mironov minangka pangadeg franchise kasebut, mula akeh wong sing melu mbukak perusahaan waralaba bisa duwe informasi paspor. MTS nganakake investigasi internal, nanging ora bisa nemtokake sapa sing nginstal penerusan lan carane panyerang nyegat SMS kasebut. Perusahaan ora ngakoni kaluputan, nanging ing wektu sing padha menehi Alexey ganti rugi banget aneh - 750 rubles.
Kita nganggep manawa ngenali pelanggan saka jarak jauh mung nggunakake data pribadhi sing bener minangka praktik sing nggumunake lan nulis keluhan menyang Roskomnadzor kanggo verifikasi kepatuhan proses perusahaan kaya iki karo syarat undang-undang babagan data pribadhi. Akibaté, Roskomnadzor sisih karo MTS, pointing metu sing ngatur layanan komunikasi sawise identifikasi remot liwat telpon nalika nyediakake data pribadhi sing bener iku cukup normal, lan nggawe cara tambahan kanggo pangayoman marang tumindak ora sah iki ngelu kanggo pelanggan piyambak, ora. perusahaan . (waca jawaban lengkap - )
Peretasan akun Alexey Mironov dudu kasus pertama akses ora sah menyang data pelanggan MTS. Ing 2018, database 500 ewu pelanggan ing Novosibirsk loro panyerang, siji saka kang karyawan perusahaan. Dheweke nyoba adol database kanthi rega 1 rubel kanggo data siji pelanggan.
Ing 2016 ana Akun Telegram aktivis oposisi Georgy Alburov lan Oleg Kozlovsky. Akun kasebut disambung menyang nomer MTS, lan sakcepete sadurunge hack, layanan SMS dipateni lan terusake diaktifake. Kahanan saka break-in uga ora ditetepake. Ing 2019, Oleg Kozlovsky ngajokake tuntutan hukum marang MTS, nanging pengadilan nolak.
Nglindhungi akun macem-macem layanan web lan aplikasi saka peretasan minangka tanggung jawab pangguna dhewe. Posisi iki dienggo bareng dening operator telekomunikasi lan regulator dhewe, miturut dheweke ora gelem nuduhake risiko kasebut karo pelanggan dhewe.
RKN njlèntrèhaké cara iki ing respon:
"... Miturut klausa 2.11 saka Ketentuan MTS, kanggo tujuan identifikasi, pelanggan saka operator telekomunikasi diwenehi kesempatan kanggo nggunakake Tembung Kode - urutan simbol (huruf, angka) sing ditemtokake dening Pelanggan ing wangun sing ditetepake dening Operator, kang serves kanggo ngenali Subscriber nalika nglakokaké Agreement. Pelanggan duwe kesempatan kanggo nyetel tembung kode nalika ngrampungake persetujuan (ing kasus iki dilebokake ing formulir persetujuan bebarengan karo rincian wajib) lan kapan wae sajrone eksekusi perjanjian kasebut. Senadyan iki, pelanggan Mironov A.K. tembung kode ora disetel sadurunge sambungan gegeran layanan. Ing kahanan kaya mengkono, mung pelanggan, kanthi nggawe tembung kode sajrone identifikasi karo operator telekomunikasi, bisa netralake risiko akibat sing ora becik saka kahanan kasebut, nanging ora njupuk kesempatan iki.
Recovery akun. Misi mokal
Keluhan babagan ora tumindak Roskomnadzor wis diajukake menyang kantor kejaksaan. Sauntara kuwi, polisi tetep meneng babagan laporan kejahatan kasebut. Ora ana sing nglaporake apa-apa ing perusahaan babagan asil investigasi. MTS ora ngakoni kesalahane. Ora ono sing peduli. Ing wektu sing padha, VKontakte terus nolak pemilik akun kanggo mulihake akses menyang nganti dheweke nggawa saka polisi Resolusi kanggo miwiti kasus pidana madegaken bukti tartamtu lan layang saka MTS, kang bakal konfirmasi sing layanan redirection punika contestable. Ing layang kanthi panjelasan sing cukup ekstensif, ana uga syarat yen Mironov uga kudu menehi sertifikat saka MTS yen dheweke dadi siji-sijine (lan apa, ing endi wae operator ndhaptar kepemilikan bareng nomer telpon?) pangguna nomer telpon sing disambung menyang kaca. Tanggepan teka ing pungkasan minggu kepungkur, lan diwenehi deadlock ing kahanan lan impossibility kanggo nggayuh persetujuan karo VKontakte kanggo nem sasi saiki, kita tindak menyang pengadilan.
Carane nglindhungi dhewe saka hacking
Penyerang uga bisa entuk akses kanggo ngatur nomer telpon liwat kerentanan liyane - protokol SS7 utawa entuk kertu SIM duplikat kanthi bantuan karyawan operator sing ora sopan.
SS7 minangka protokol teknis sing digunakake dening operator telekomunikasi. Isine lawas lan ketoke unremovable , sing ngidini sampeyan nyegat data sing dikirim dening pelanggan nalika nelpon utawa liwat SMS. Mung operator sing duwe akses menyang SS7, nanging panyerang bisa entuk kanthi tuku akses ing darknet saka operator ing negara sing kurang berkembang utawa liwat karyawan operator seluler sing ora sopan. Serangan kedadeyan nalika panyerang ngganti alamat sistem tagihan pelanggan menyang alamate dhewe. Paling asring, panyerang ngandhani sistem manawa pelanggan ana ing roaming internasional, mula cara paling gampang kanggo nglindhungi dhewe yaiku mateni roaming internasional yen sampeyan ora nggunakake.
Alexey Mironov durung duwe sistem otentikasi rong faktor sing dikonfigurasi kanggo Vkontakte. Fungsi iki ing VK ing Juni 2014. Mungkin dheweke bisa nglindhungi akun kasebut supaya ora disusupi. Sampeyan kudu eling yen mung ngubungake akun menyang nomer telpon dudu otentikasi rong faktor. — iki minangka proteksi login menyang akun nalika, saliyane sandhi, tumindak liyane ditindakake. Pilihan sing paling umum yaiku kode SMS. Cara iki ora paling dipercaya, amarga panyerang bisa nyegat pesen SMS. Pilihan sing luwih aman yaiku file kunci, kode sementara, aplikasi seluler lan token hardware.
Sayange, kita kepeksa manggon ing jaman sing njamin keamanan data dadi masalah kita dhewe. Padha ngarep-arep sing operator bakal tanggung jawab independen ing acara saka hack, nanging ketoke iki ora cilik. Uga ngandelake Roskomnadzor, sing wis suwe pegatan saka kasunyatan ing praktik perlindungan data. Iku luar biasa angel kanggo break liwat waja saka "bahan penolakan" saka perwira polisi lokal sing bakal nampa aplikasi ing kasus padha, utamané kanggo wong biasa sing ora ngerti carane sistem iki dianggo. Apa sing isih ana? Aja lali babagan kebersihan digital, percaya matematika lan mbela hak sampeyan ing pengadilan.
Source: www.habr.com