Алдамчылар МТСтин кардарларды идентификациялоо системасындагы алсыздыктан улам ишкер Алексей Мироновдун ВКонтакте баракчасын уурдап кетишкен. Социалдык тармак аны эч качан ээсине кайтарып бербей, андан мүмкүн болбогон нерсени талап кылууда. Эми бул үчүн ал ВКонтакте менен соттошууда. Ал Санариптик укуктар борбору тарабынан көрсөтүлөт.
Алексей Миронов - Jeffrey's Coffee тармагынын негиздөөчүсү. Бул Москвадагы жана аймактардагы кофе дүкөндөрүнүн франшизасы. Алексей ВКонтактедеги кесиптештери жана өнөктөштөрү менен тез-тез баарлашып, 50 000ден ашык жазылуучуну түзгөн өзүнүн тармагы үчүн абдан популярдуу коомдук баракчасын сактап турган.
2018-жылдын ноябрында, эртең менен Алексей Кытайда иш сапарында жүргөндө, анын ВКонтактедеги баракчасы хакердик чабуулга кабылган. Ал «ВКонтакте», «WhatsApp» тармактарынан СМС жана МТС операторунан башка номерге багыттоо орнотулганы тууралуу билдирүү алган. Алексей экспедицияны орнотпогондуктан, дароо тынчсызданып, МТСке телефон чалды. Алар чындап эле багыттоо бар экенин дароо аныкташкан жок. Оператор аны Алексейдин чакыруусунан эки сааттан кийин гана өчүрө алган. МТС эч качан жөнөтүү кантип жана качан иштетилгени тууралуу маалыматты тапкан эмес.
Алексей социалдык тармактарга жана мессенджерлерге кирүү мүмкүнчүлүгүн текшерип, телефон номери аркылуу аларга кире албай калганын көрдү. Хакерлер анын аккаунттары менен башка номерди байланыштырышкан. WhatsApp менен маселе тез арада чечилди. Багыттоо жокко чыгарылгандан кийин, мессенджер каттоо эсебине мыйзамдуу ээсине кирүү мүмкүнчүлүгүн калыбына келтирди.
Алексей "ВКонтакте" колдоо тармагына баракчасын кайтарып берүүнү суранып, паспортунун сүрөтүн жөнөткөн. Кечинде ал арыз четке кагылды деген SMS-билдирүү алды, анткени учурдагы ээси кирүү укугун тастыктаган.
Техникалык колдоо боюнча адис Алексей өз баракчасына өз ыктыяры менен кирүү мүмкүнчүлүгүн үчүнчү жактарга өткөрүп бере аларын, андыктан алар анын мүмкүнчүлүгүн калыбына келтиришпей турганын билдирди. Алексей хакерлик жагдайды түшүндүрүп берди, бирок андан МТСтен тастыктоочу кат жөнөтүүнү суранышты, анда оператор бузукулук болгонун ырастайт. Алексей МТСтен кат берген. Мындан кийин ВКонтакте администрациясы бул катты полициядан күбөлөндүрүүнү талап кылган. Бул талапты аткаруу өтө кыйын, анткени каттарды жана кол койгон адамдын ыйгарым укуктарын күбөлөндүрүү полициянын функциясына кирбейт. Алексей бул тууралуу билген ВКонтактенин кызматкерлерине жеке суроо менен гана хакерленген баракчаны бөгөттөй алган. Барак азырынча кайтарыла элек. Алексей бир гана нерсеге жетишти - анын эсебин бөгөттөө. Эми аны шылуундар да, өзү да колдоно албайт.
VKontakte колдоо кызматы башка окуя. VKontakte колдоо кызматына ыйгарым укуктуу колдонуучулар гана кайрыла алышат. Бул сиздин баракчаңызга кирүү мүмкүнчүлүгүн жоготсоңуз, жаңысын түзүшүңүз керек же досторуңуздан колдоо көрсөтүүгө жазуу үчүн баракчаларына кирүү мүмкүнчүлүгүн берүүнү суранышыңыз керек дегенди билдирет. Алексей аялынын баракчасынан колдоо кызматынын адистери менен кат алышып, бул аларды тынчсыздандырган жок, бирок Колдонуучу келишими логин менен сырсөздү башка бирөөнө өткөрүп берүүгө жол бербейт.
Барактын хакердик чабуулу жана андан ары аккаунтка жана коомдук баракчага кирүү мүмкүнчүлүгүн жоготуу Алексейдин ишкердик беделине да, мүлктүк кызыкчылыктарына да зыян келтиргени анык. Бул бир топ жеке жана коммерциялык маалыматтардын белгисиз жактарга агып кетишине жол бергенин айтпаганда да. Ишкердин эсебиндеги алдамчылар анын досторунан ири суммадагы акча которууну суранышкан. Бир адам аларга 34 миң рубль которгон. Кол салгандар XNUMX саат бою Алексейдин аккаунтунан жеке маалыматка ээ болушкан.
ВКонтактеге каршы доо
Алексей Миронов "ВКонтакте" социалдык тармагына каршы доо арыз менен Санкт-Петербургдун Смольнин райондук сотуна кайрылып, азыр иштин дайындоосун күтүп жатат. Ал соттон социалдык тармакты Колдонуучу келишими түрүндө түзүлгөн өз келишимин аткарууга милдеттендирүүнү жана ага өзүнүн баракчасына кирүү мүмкүнчүлүгүн кайтарып берүүнү суранат. Бүгүнкү күнгө чейин, ВКонтакте администрациясы Алексейди өзүнүн аккаунтуна кирүү мүмкүнчүлүгүнөн негизсиз ажыратууну улантууда, ал эми ал Колдонуучу келишиминин шарттарын абийирдүүлүк менен аткарып, социалдык тармактын техникалык колдоо кызматына бузукулук тууралуу дароо маалымдаган. «ВКонтакте» колдонуучуларга өз баракчасынын логин менен сырсөзүн үчүнчү жактарга өткөрүп берүүгө тыюу салган Колдонуучу келишиминдеги пунктка таянып, баракчага кирүү мүмкүнчүлүгүн калыбына келтирүүдөн баш тартты. Алексей менен сүйлөшкөн ВКонтакте колдоо агенти телефон номерин багыттоону оператордун кеңсесине барып, паспортуңузду көрсөтүү менен гана орното аласыз деп билдирди. Чынында, бул андай эмес жана бул Алексейдин кайрылуусуна жооп катары Роскомнадзор тарабынан тастыкталган.
Социалдык тармак Колдонуучунун келишимин бузуп, Алексейдин баракчасын колдонуу мүмкүнчүлүгүн негизсиз чектеген. Бул берененин 1-пунктун бузган милдеттенмелерди аткаруудан бир тараптуу баш тартуу болуп саналат. 30 Россия Федерациясынын Граждандык кодекси. Аны аккаунтуна кирүү укугунан ажыратуу менен, ВК Алексейди ал үчүн маанилүү материалдык эмес актив болгон коомдук баракчасын башкаруу укугунан да ажыраткан. (Биз санариптик менчиктин жаңы формасы катары коомдук рынок жана алар менен бүтүмдөрдү түзүүнүн өзгөчөлүктөрү жөнүндө жазганбыз )
МТСтин идентификация системасындагы коопсуздук тешиктери
Ишкердин атынан шылуундар жүргүзгөн кат алышуулар анын иш сапары жана командировкасы тууралуу билишкендигин көрсөтүп турат. Алар МТСтин байланыш борборуна телефон чалып, Алексейдин атынан өздөрүн таанып, чалууларды багыттоону орнотуп алышкан. Кол салгандар анын паспорттук маалыматтарын социалдык инженерия аркылуу ала алышкан. Алексей Миронов франшизанын негиздөөчүсү, ошондуктан франчайзингдик мекемелерди ачууга катышкан көптөгөн адамдар анын паспорттук маалыматына ээ боло алышат. МТС ички иликтөө жүргүзгөн, бирок багыттоону так ким орноткондугун жана чабуулчу СМСти кантип кармап калганын аныктай алган жок. Компания күнөөсүн мойнуна алган эмес, бирок ошол эле учурда Алексейге абдан кызыктай компенсация сунуштаган - 750 рубль.
Биз абонентти алыстан туура жеке маалыматтарды колдонуу менен аныктоо өтө күмөндүү практика деп эсептеп, компаниянын мындай процессинин жеке маалыматтар боюнча мыйзамдардын талаптарына шайкештигин текшерүү үчүн Роскомнадзорго арыз жаздык. Натыйжада, Роскомнадзор МТС тарапка өтүп, телефон аркылуу аралыктан идентификациядан кийин байланыш кызматтарын туура жеке маалыматтарды берүү менен башкаруу нормалдуу көрүнүш экенин жана мындай уруксатсыз аракеттерден коргоонун кошумча ыкмаларын белгилөө абоненттин баш оорусу эмес экенин белгиледи. компания . (толук жооп окуу - )
Алексей Мироновдун аккаунтун бузуу МТСтин абоненттик маалыматтарына уруксатсыз кирүүнүн биринчи учуру эмес. 2018-жылы 500 миң абоненттин маалымат базасы Новосибирскиде эки кол салган, алардын бири компаниянын кызматкери болгон. Алар базаны бир абоненттин маалыматы үчүн 1 рублдан сатууга аракет кылышкан.
2016-жылы бар болчу Оппозициянын активисттери Георгий Албуров менен Олег Козловскийдин телеграмдагы аккаунттары. Алардын аккаунттары МТСтин номурлары менен байланышкан жана бузулууга аз калганда алардын SMS кызматы өчүрүлүп, багыттоо иштетилген. Кирүүнүн жагдайлары да аныкталган эмес. 2019-жылы Олег Козловский МТСке каршы доо арыз менен кайрылган, бирок сот аны четке каккан.
Ар кандай веб-кызматтардын жана тиркемелердин аккаунттарын хакерликтен коргоо колдонуучунун өзүнө жүктөлөт. Бул позицияны байланыш операторлору да, жөнгө салуучу өзү да бөлүшөт, ага ылайык алар бул тобокелдиктерди өз абоненттери менен бөлүшүүдөн баш тартышат.
RKN өзүнүн жообун мындайча сүрөттөйт:
«... МТС Шарттарынын 2.11-пунктуна ылайык, идентификациялоо максатында байланыш операторунун абоненттерине Code Word - Абонент тарабынан белгиленген формада белгиленген символдордун (тамгалардын, сандардын) ырааттуулугун колдонуу мүмкүнчүлүгү берилет. Келишимди түзүүдө Абонентти идентификациялоо үчүн кызмат кылган Оператор. Абоненттин код сөзүн келишим түзүүдө да (мында ал келишимдин формасына милдеттүү реквизиттер менен кошо киргизилет) жана келишимди аткаруунун каалаган учурунда коюуга мүмкүнчүлүгү бар. Ага карабастан абонент Миронов А.К. код сөзү кызматтын талаштуу туташуу алдында коюлган эмес. Мындай шартта абонент гана байланыш оператору менен идентификациялоо учурунда код сөзүн түзүү менен, мындай кырдаалдардан келип чыгуучу жагымсыз кесепеттерге алып келүүчү тобокелдиктерди жокко чыгара алган, бирок бул мүмкүнчүлүктөн пайдаланган эмес».
Каттоо эсебин калыбына келтирүү. Миссия мүмкүн эмес
Буга чейин Роскомнадзордун аракетсиздиги боюнча прокуратурага арыз түшкөн. Ал ортодо милиция кылмыш иши боюнча унчукпай келет. Тергөөнүн жыйынтыгы боюнча компаниянын ичинде эч ким эч нерсе билдирбейт. МТС эч кандай күнөөсүн мойнуна албайт. Эч ким кам көрбөйт. Ошол эле учурда "ВКонтакте" аккаунттун ээсине милициядан көрсөтүлгөн фактыларды аныктаган кылмыш ишин козгоо жөнүндө Токтомду жана МТСтен кайра багыттоо кызматы талаштуу экенин тастыктаган катты алып келмейинче, ага кирүү мүмкүнчүлүгүн калыбына келтирүүдөн баш тартууну улантууда. Жетиштүү кенен түшүндүрмөлөрү бар катта Миронов ошондой эле МТСтен ал байланыштырылган телефон номеринин жападан жалгыз колдонуучусу (жана кайсыл жерде операторлор телефон номерлерине биргелешкен менчик укугун каттайт?) деген күбөлүк бериши керек деген талап да бар. бет. Жооп өткөн жуманын аягында келип, кырдаал туңгуюкка кептелгенин жана жарым жылдан бери ВКонтакте менен макулдашууга мүмкүн эместигин эске алып, сотко кайрылдык.
Өзүңүздү хакерликтен кантип коргоо керек
Чабуулчулар ошондой эле телефон номерин башкарууга башка чабалдыктар - SS7 протоколу аркылуу же ак ниетсиз оператор кызматкерлеринин жардамы менен SIM картанын дубликатын алуу мүмкүнчүлүгүнө ээ боло алышат.
SS7 - байланыш операторлору колдонгон техникалык протокол. Бул эски жана, сыягы, алынбай турган камтыйт , бул чалуулар учурунда же SMS аркылуу абоненттер тарабынан берилген маалыматтарды кармоого мүмкүндүк берет. SS7ге операторлор гана кире алышат, бирок чабуулчулар аны өнүкпөгөн өлкөлөрдөгү операторлордон же уюлдук операторлордун абийирсиз кызматкерлери аркылуу darknet аркылуу сатып ала алышат. Кол салуу чабуулчу абоненттин эсеп-кысап системасынын дарегин өзүнүн дарегине өзгөрткөндө пайда болот. Көбүнчө чабуулчулар системага абонент эл аралык роумингде экенин маалымдайт, ошондуктан өзүңүздү коргоонун эң оңой жолу - эгер сиз аны колдонбосоңуз, эл аралык роумингди өчүрүү.
Алексей Миронов азырынча Вконтакте үчүн конфигурацияланган эки факторлуу аутентификация системасы болгон эмес. Бул функция 2014-жылдын июнунда ВК. Балким, ал анын аккаунтун бузуп алуудан коргой алмак. Каттоо эсебин телефон номерине байланыштыруу эки факторлуу аутентификация эмес экенин эстен чыгарбоо керек. — бул сырсөзгө кошумча башка иш-аракет аткарылганда эсепке кирүүнү коргоо. Эң кеңири таралган вариант - SMS коду. Бул ыкма эң ишенимдүү эмес, анткени чабуулчулар SMS билдирүүнү кармап алышат. Кооптуураак варианттар - бул негизги файл, убактылуу коддор, мобилдик тиркеме жана аппараттык белги.
Тилекке каршы, биз маалыматтардын коопсуздугун камсыз кылуу биздин өзүбүздүн көйгөйүбүз болуп калган доордо жашоого аргасызбыз. Алар хакерлик болгон учурда операторлор өз алдынча жоопкерчилик тартат деп үмүттөнүшөт, бирок, сыягы, андай эмес. Ошондой эле Роскомнадзорго таянуу менен, анын маалыматтарды коргоо практикасында көптөн бери чындыктан ажырап калган. Ушундай эле учурда сиздин арызыңызды кабыл ала турган жергиликтүү милиция кызматкеринин “баш тартуу материалынын” курал-жарактарын бузуп өтүү өтө кыйын, өзгөчө бул система кантип иштээрин билбеген карапайым адам үчүн. Эмне калды? Санариптик гигиена жөнүндө унутпаңыз, математикага ишениңиз жана өз укуктарыңызды сотто коргоңуз.
Source: www.habr.com