Алаяқтар кәсіпкер Алексей Мироновтың «ВКонтакте» желісіндегі парақшасын МТС тұтынушыларды сәйкестендіру жүйесіндегі осалдықтан ұрлап кеткен. Әлеуметтік желі оны ешқашан иесіне қайтармаған және одан мүмкін емес нәрсені талап етеді. Қазір ол бұл үшін ВКонтакте желісінде сотқа шағым түсіріп жатыр. Оның мүддесін цифрлық құқықтар орталығы қорғайды.
Алексей Миронов - Jeffrey's Coffee желісінің негізін қалаушы. Бұл Мәскеудегі және аймақтардағы кофеханалар франшизасы. Алексей ВКонтакте желісіндегі әріптестерімен және серіктестерімен жиі байланысып, 50 000-нан астам жазылушысы бар өз желісінің өте танымал жұртшылығын басқарды.
2018 жылдың қарашасында, таңертең Алексей Қытайда іссапармен жүргенде, оның ВКонтакте желісіндегі парақшасы бұзылды. Ол ВКонтакте, WhatsApp желілерінен SMS және МТС операторынан басқа нөмірге бағыттау орнатылғаны туралы хабарлама алды. Алексей экспедицияны орнатпады, сондықтан ол бірден алаңдап, МТС-ке қоңырау шалды. Олар шынымен қайта бағыттау бар екенін бірден анықтаған жоқ. Оператор оны Алексей қоңырау шалғаннан кейін екі сағаттан кейін ғана өшіре алды. MTS қоңырауды қайта бағыттау қалай және қашан қосылғаны туралы деректерді таппады.
Алексей әлеуметтік желілер мен мессенджерлерге кіру мүмкіндігін тексеріп, енді телефон нөмірі бойынша оларға кіре алмайтынын көрді. Хакерлер оның аккаунттарына басқа нөмір байлап қойған. WhatsApp көмегімен мәселе тез шешілді. Қайта бағыттаудан бас тартқаннан кейін мессенджер заңды иесіне тіркелгіге кіруді қалпына келтірді.
Алексей ВКонтакте желісін қолдап, парақшаны қайтару туралы өтініш жазып, төлқұжат суретін жіберді. Кешке ол өтініштің қабылданбағандығы туралы SMS-хабарлама алды, өйткені қазіргі иесі кіру құқығын растады.
Техникалық қолдау көрсету маманы Алексей өз парақшасына рұқсатты үшінші тұлғаларға өз еркімен бере алатынын, сондықтан олар оған қолжетімділікті қалпына келтірмейтінін айтты. Алексей бұзу жағдайын түсіндірді, бірақ одан МТС-тен растау хатын жіберуді сұрады, онда оператор бұзу орын алғанын растайды. Алексей МТС-тен хат берді. Осыдан кейін ВКонтакте әкімшілігі бұл хатты полициядан куәландыруды талап етті. Мұндай талапты орындау өте қиын, өйткені қол қойған адамның хаттары мен сенім грамоталарын куәландыру полицияның міндеті емес. Алексей бұзылған парақшаны бұл туралы ВКонтакте желісінің таныс қызметкерлерінен жеке сұрау арқылы ғана бұғаттай алды. Парақ әлі қайтарылған жоқ. Алексей қол жеткізген жалғыз нәрсе - аккаунтты бұғаттау. Енді оны алаяқтар да, өзі де пайдалана алмайды.
ВКонтакте қолдау қызметі - бұл басқа әңгіме. Тек авторизацияланған пайдаланушылар ВКонтакте қолдау қызметіне хабарласа алады. Бұл дегеніміз, егер сіз өзіңіздің парағыңызға кіру мүмкіндігін жоғалтсаңыз, қолдау қызметіне жазу үшін жаңасын жасауыңыз немесе достарыңыздан олардың беттеріне кіруге рұқсат беруін сұрауыңыз керек. Алексей әйелінің парақшасынан қолдау қызметінің мамандарымен хат алысты және бұл оларды шатастырмады, дегенмен Пайдаланушы келісімі логин мен парольді басқа біреуге беруге мүмкіндік бермейді.
Парақшаның бұзылуы және одан әрі аккаунт пен жұртшылыққа кіру мүмкіндігін жоғалту Алексейдің іскерлік беделіне де, оның мүліктік мүдделеріне де нұқсан келтіргені анық. Бұл жеке және коммерциялық ақпараттың айтарлықтай көлемін ешкім білмейтін жерге ағып кетуіне мүмкіндік бергенін айтпағанның өзінде. Кәсіпкердің шотындағы алаяқтар оның достарынан ірі көлемде ақша аударуды сұраған. Бір адам оларға 34 мың рубль аударған. Шабуылшылар XNUMX сағат бойы Алексейдің аккаунтының жеке ақпаратына қол жеткізген.
ВКонтактеге қарсы сот ісі
Алексей Миронов «ВКонтакте» әлеуметтік желісінің үстінен Санкт-Петербургтің Смольнинск аудандық сотына шағым түсіріп, қазір істің тағайындалуын күтіп отыр. Ол соттан әлеуметтік желіні Пайдаланушы келісімі түрінде жасалған өз келісімін орындауға міндеттеуді және оған оның парақшасына кіруді қайтаруды сұрайды. Осы уақытқа дейін ВКонтакте әкімшілігі Алексейді оның аккаунтына кіру құқығынан негізсіз айыруды жалғастыруда, ал ол Пайдаланушы келісімінің шарттарын адал орындап, әлеуметтік желінің техникалық қолдау қызметіне хакерлік шабуыл туралы дереу хабарлаған. «ВКонтакте» пайдаланушыларға өз парақшасының логині мен паролін үшінші тұлғаларға беруге тыйым салатын Пайдаланушы келісіміндегі тармаққа сілтеме жасап, оның бетке кіру мүмкіндігін қалпына келтіруден бас тартты. Алексей сөйлескен ВКонтакте қолдау агенті телефон нөмірін бағыттауды оператор кеңсесіне барып, төлқұжатыңызды көрсеткенде ғана орнатуға болатынын айтты. Іс жүзінде бұл олай емес, Роскомнадзор Алексейдің өтінішіне жауап ретінде мұны растады.
Әлеуметтік желі пайдаланушы келісімін бұза отырып, Алексейдің өз парақшасын пайдалануға рұқсатын негізсіз шектеді. Бұл баптың 1-тармағын бұза отырып, міндеттемелерді орындаудан біржақты бас тарту болып табылады. Ресей Федерациясының Азаматтық кодексінің 30-ы. Оны аккаунтқа кіру құқығынан айыру арқылы ВК сонымен қатар Алексейді өзіне тиесілі қоғамды басқару құқығынан айырды, бұл ол үшін маңызды материалдық емес актив. (Біз цифрлық меншіктің жаңа нысаны ретінде қоғамдық нарық және олармен мәмілелер жасау ерекшеліктері туралы жазғанбыз. )
МТС сәйкестендіру жүйесіндегі қауіпсіздік саңылаулары
Кәсіпкердің атынан алаяқтар жүргізген хат-хабарларға қарағанда, оның іссапар мен іссапарынан хабары бар екені анық. Олар МТС-тің байланыс орталығына қоңырау шалып, Алексейдің атынан өздерін анықтап, қоңырауды бағыттауды орнатты. Шабуылшылар оның төлқұжатының мәліметтерін әлеуметтік инженерия арқылы алуы мүмкін еді. Алексей Миронов - франчайзингтің негізін қалаушы, сондықтан франчайзингтік мекемелерді ашуға қатысқан көптеген адамдар оның төлқұжат деректерін ала алады. МТС ішкі тергеу жүргізді, бірақ жіберуді нақты кім орнатқанын және шабуылдаушы SMS-ті қалай ұстағанын анықтай алмады. Компания кінәсін мойындамады, бірақ сонымен бірге Алексейге өте оғаш өтемақы - 750 рубль ұсынды.
Біз тек дұрыс жеке деректерді пайдалана отырып, абонентті қашықтан анықтау өте күмәнді тәжірибе деп санадық және компанияның мұндай процесі жеке деректер заңнамасының талаптарына сәйкес келетінін тексеру үшін Роскомнадзорға шағым түсірдік. Нәтижесінде, Роскомнадзор телефон арқылы қашықтан сәйкестендіруден кейін байланыс қызметтерін басқару және дұрыс жеке деректерді беру қалыпты жағдай екенін және мұндай рұқсат етілмеген әрекеттерден қорғаудың қосымша әдістерін орнату абоненттің өзі үшін емес, бас ауруы екенін атап өтті. компания. (толық жауапты оқу - )
Алексей Мироновтың аккаунтын бұзу МТС абоненттерінің деректеріне рұқсатсыз қол жеткізудің бірінші оқиғасы емес. 2018 жылы деректер базасы 500 мың жазылушы Новосибирскіде екі қаскүнем, оның бірі компанияның қызметкері. Олар дерекқорды бір абоненттің деректері үшін 1 рубльден сатуға тырысты.
2016 жылы болды Оппозиция белсенділері Георгий Альбуров пен Олег Козловскийдің Telegram аккаунттары. Олардың есептік жазбалары МТС нөмірлеріне байланған және бұзғанға дейін аз уақыт бұрын оларда SMS қызметі өшіріліп, қайта жіберу қосылды. Сондай-ақ қылмыстың мән-жайы анықталмады. 2019 жылы Олег Козловский МТС-ті сотқа берді, бірақ сот оны қабылдамады.
Әртүрлі веб-қызметтердің және қолданбалардың тіркелгілерін бұзудан қорғау пайдаланушының жауапкершілігі болып табылады. Бұл позицияны байланыс операторлары да, реттеушінің өзі де бөліседі, соған сәйкес олар бұл тәуекелдерді өз абонентімен бөлісуден бас тартады.
РКН өз жауабында оны былай сипаттайды:
«... МТС Шарттарының 2.11-тармағына сәйкес абоненттерге сәйкестендіру мақсатында байланыс операторында Код сөзін – Абонент көрсеткен таңбалар тізбегін (әріптер, сандар) пайдалану мүмкіндігі беріледі. Шартты орындау кезінде Абонентті анықтауға қызмет ететін оператор. Абонент шартты жасау кезінде де (бұл жағдайда ол міндетті реквизиттермен бірге шарт нысанына енгізіледі), сондай-ақ шартты орындау барысында кез келген уақытта код сөзін орнату мүмкіндігіне ие. Осыған қарамастан, абонент Миронов А.К. қызметке даулы қосылу сәтіне дейін кодтық сөз белгіленбеген. Мұндай жағдайларда тек абонент байланыс операторымен сәйкестендіру кезінде код сөзін орнату арқылы мұндай жағдайлардан жағымсыз салдарлардың туындау қаупін бейтараптай алады, бірақ бұл мүмкіндікті пайдаланбады.
Есептік жазбаны қалпына келтіру. миссия мүмкін емес
Роскомнадзордың әрекетсіздігі туралы шағым қазірдің өзінде прокуратураға жіберілген. Ал полиция қылмыс туралы хабарламаға үнсіз отыр. Компанияда жүргізілген тергеу нәтижелері туралы да ешкім ештеңе айтпайды. МТС ешбір кінәні мойындамайды. Ешкім ойламайды. Сонымен бірге, ВКонтакте аккаунт иесіне полициядан көрсетілген фактілерді анықтай отырып, қылмыстық іс қозғау туралы қаулыны және дауды растайтын МТС хатын әкелгенге дейін оған кіруді қалпына келтіруден бас тартуды жалғастыруда. қоңырауды қайта бағыттау қызметі. Ұзақ түсініктемелері бар хатта Мироновтың жалғыз пайдаланушы екендігі туралы МТС-тен анықтама беруі керек деген талап бар (және операторлар телефон нөмірлеріне ортақ меншік құқығын бір жерде тіркей ме?) Телефон нөмірін пайдаланушы. параққа байланыстырылды. Жауап өткен аптаның соңында келіп, жағдайдың тығырыққа тірелгенін және «ВКонтактемен» жарты жыл бойы келісімге келу мүмкін еместігін ескеріп, сотқа жүгіндік.
Өзіңізді бұзудан қалай қорғауға болады
Сондай-ақ шабуылдаушылар телефон нөмірін басқаруға басқа осалдықтар арқылы қол жеткізе алады - SS7 хаттамасы немесе оператордың жосықсыз қызметкерлерінің көмегімен қайталанатын SIM картасын алу.
SS7 — байланыс операторлары пайдаланатын техникалық хаттама. Оның құрамында ескі және алынбайтын сияқты , бұл қоңырау кезінде немесе SMS хабарламасында абоненттер жіберген деректерді ұстауға мүмкіндік береді. SS7-ге тек операторлар ғана қол жеткізе алады, бірақ шабуылдаушылар оны дамымаған елдердегі операторлардан немесе ұялы байланыс операторларының жосықсыз қызметкерлерінен қараңғы желіге кіруді сатып алу арқылы ала алады. Шабуыл хакер абоненттің төлем жүйесінің мекенжайын өзінің мекен-жайына өзгерткен кезде орын алады. Көбінесе шабуылдаушылар жүйеге абоненттің халықаралық роумингте екендігі туралы хабарлайды, сондықтан өзіңізді қорғаудың ең оңай жолы - егер сіз оны пайдаланбасаңыз, халықаралық роумингті өшіру.
Алексей Мироновтың Вконтакте желісінде орнатылған екі факторлы аутентификация жүйесі де жоқ. Мұндай функция 2014 жылдың маусымында ВК. Мүмкін ол оның аккаунтын бұзудан қорғай алатын шығар. Тіркелгіні телефон нөміріне жай ғана байланыстыру екі факторлы аутентификация емес екенін есте ұстаған жөн. - бұл парольден басқа тағы бір әрекет орындалған кезде тіркелгіні енгізуден қорғау. Ең көп таралған нұсқа - SMS коды. Бұл әдіс ең сенімді емес, өйткені шабуылдаушылар SMS хабарламасын ұстай алады. Неғұрлым қауіпсіз опциялар - бұл негізгі файл, уақытша кодтар, мобильді қолданба және аппараттық құрал.
Өкінішке орай, біз деректерді қорғау біздің жеке проблемамызға айналған дәуірде өмір сүруге мәжбүрміз. Олар бұзған жағдайда операторлар жауапты болады деп үміттенеді, шамасы қажет емес. Сондай-ақ деректерді қорғау тәжірибесінде ұзақ уақыт бойы шындықпен байланысы жоқ Роскомнадзорға сүйенеді. Осыған ұқсас іс бойынша өтінішіңізді жіберетін учаскелік полиция қызметкерінің «қабылданбаған материалының» сауыт-сайманын бұзу, әсіресе бұл жүйенің қалай жұмыс істейтінін білмейтін қарапайым адам үшін өте қиын. Не қалды? Сандық гигиена туралы ұмытпаңыз, математикаға сеніңіз және өз құқықтарыңызды сотта қорғаңыз.
Ақпарат көзі: www.habr.com