Fraudsters hunn d'VKontakte Säit vum Entrepreneur Alexey Mironov geklaut wéinst enger Schwachstelle am MTS Client Identifikatiounssystem. De sozialen Netzwierk huet et ni un säi Besëtzer zréckginn a fuerdert dat Onméiglecht vun him. Elo verklot hien VKontakte dofir. Hie gëtt vum Centre for Digital Rights vertrueden.
Alexey Mironov ass de Grënner vun der Jeffrey's Coffee Kette. Dëst ass eng Walrecht vu Kaffi Geschäfter zu Moskau an de Regiounen. Alexey kommunizéiert dacks mat Kollegen a Partner op VKontakte an huet eng ganz populär ëffentlech Säit fir säin Netz do, nummeréiert méi wéi 50 Abonnenten.
Am November 2018, fréi moies, wéi Alexey op enger Geschäftsrees a China war, gouf seng VKontakte Säit gehackt. Hie krut SMS vu VKontakte, WhatsApp an e Message vum MTS Bedreiwer, dee sot datt d'Forwarding op eng aner Nummer ageriicht gouf. Alexey huet d'Forwarding net opgeriicht, sou datt hien direkt besuergt gouf an MTS genannt huet. Si hunn net emol direkt festgestallt datt et wierklech e Viruleedung gouf. De Bedreiwer konnt et nëmmen zwou Stonnen nom Alexey sengem Uruff ausschalten. MTS huet ni Daten fonnt wéi a wéini de Forward aktivéiert gouf.
Den Alexey huet den Zougang zu sozialen Netzwierker an Instant Messenger iwwerpréift a gesinn datt hien net méi mat senger Telefonsnummer aloggen konnt. D'Hacker hunn eng aner Nummer u seng Konten verbonnen. Mat WhatsApp gouf de Problem séier geléist. Direkt nodeems de Forward annuléiert gouf, huet de Messenger den Zougang zum Kont op de richtege Besëtzer restauréiert.
Alexey geschriwwen op VKontakte Ënnerstëtzung froen der Säit zréck an eng Foto vu sengem Pass geschéckt. Den Owend krut hien eng SMS, datt d'Demande refuséiert gouf, well den aktuelle Besëtzer d'Recht op Zougang bestätegt huet.
En techneschen Support Spezialist sot datt den Alexey fräiwëlleg Zougang zu senger Säit un Drëttpersounen iwwerdroe konnt, sou datt se säin Zougang net restauréieren. Den Alexey huet d'Hackingssituatioun erkläert, awer hie gouf gefrot fir e Bestätegungsbréif vum MTS ze schécken, an deem de Bedreiwer bestätegt datt en Hack geschitt ass. Den Alexey huet e Bréif vum MTS geliwwert. Duerno huet d'VKontakte Administratioun gefuerdert datt dëse Bréif vun der Police zertifizéiert gëtt. Dës Fuerderung ass ganz schwéier ze erfëllen, well et net d'Funktioun vun der Police ass, Bréiwer an d'Umeldungsinformatioune vum Ënnerschrëft ze zertifiéieren. Den Alexey konnt d'gehackte Säit blockéieren nëmmen andeems hien perséinlech VKontakte Mataarbechter gefrot huet, déi hie wousst. D'Säit ass nach net zréckginn. Dat eenzegt wat den Alexey erreecht huet war säi Kont ze blockéieren. Elo weder Scammers nach hien selwer kënnen et benotzen.
VKontakte Support Service ass eng aner Geschicht. Nëmmen autoriséiert Benotzer kënnen de VKontakte Support Service kontaktéieren. Dëst bedeit datt wann Dir den Zougang zu Ärer Säit verléiert, musst Dir eng nei erstellen oder Är Frënn froen Zougang zu hire Säiten ze ginn fir Ënnerstëtzung ze schreiwen. Alexey korrespondéiert mat Supportservice Spezialisten aus senger Fra senger Säit, an dëst huet se net gestéiert, obwuel d'Benotzerkonventioun net erlaabt de Login a Passwuert un een aneren ze transferéieren.
D'Hacking vun der Säit an de weidere Verloscht vum Zougang zum Kont an der ëffentlecher Säit hunn selbstverständlech dem Alexey säi Geschäftsreputatioun a seng Immobilieinteresse beschiedegt. Net ze ernimmen datt dëst erlaabt eng bedeitend Quantitéit vu perséinlechen a kommerziellen Informatioun op onbekannt Destinatiounen ze lecken. Fraudsters vum Kont vum Geschäftsmann hunn seng Frënn gefrot fir hinnen grouss Zomme Suen ze transferéieren. Eng Persoun huet hinnen 34 dausend Rubelen transferéiert. D'Attacker haten Zougang zu perséinlechen Informatioune vum Alexey säi Kont fir XNUMX Stonnen.
Prozess géint VKontakte
Alexey Mironov huet e Prozess géint de sozialen Netzwierk VKontakte am Smolninsky Distrikter Geriichtshaff vu St. Hie freet d'Geriicht fir de sozialen Netzwierk ze verflichten hiren eegenen Accord ze erfëllen, ofgeschloss a Form vun engem User Agreement, an him Zougang zu senger Säit zréckzeginn. Bis haut ass d'VKontakte Administratioun weider den Alexey den Zougang zu sengem Kont onraisonnabel ze entzéien, während hien d'Konditioune vum User Accord gewëssenhaft respektéiert huet an direkt den techneschen Support Service vum sozialen Netzwierk iwwer den Hack informéiert huet. VKontakte refuséiert säin Accès op d'Säit ze restauréieren, zitéiert eng Klausel am Benotzervertrag, deen d'Benotzer verbitt hir Säit Login a Passwuert un Drëttubidder ze transferéieren. De VKontakte Support Agent, mat deem Alexey geschwat huet, huet gesot datt Dir d'Telefonsnummer Forwarding astellen kann nëmmen andeems Dir de Büro vum Bedreiwer besicht an Äre Pass presentéiert. Tatsächlech ass dat net de Fall, an dëst gouf vum Roskomnadzor als Äntwert op den Appel vum Alexey bestätegt.
De sozialen Netzwierk, an der Violatioun vum Benotzervertrag, huet dem Alexey säin Zougang zu der Benotzung vu senger Säit onraisonnabel limitéiert. Dëst ass en unilaterale Refus fir Verpflichtungen z'erfëllen, deen den Paragraph 1 vum Art verletzt. 30 Code Civil vun der Russescher Federatioun. Andeems hien den Zougang zu sengem Kont entzunn huet, huet de VK och dem Alexey d'Rechter entzunn fir seng ëffentlech Säit ze administréieren, wat e wichtegt immateriellt Verméigen fir hien ass. (Mir hunn iwwer den ëffentleche Maart geschriwwen als eng nei Form vun digitaler Immobilie an d'Besonderheete fir Transaktioune mat hinnen ofzeschléissen )
Sécherheetslächer am MTS Identifikatiounssystem
D'Korrespondenz vun de Scammers am Numm vum Entrepreneur weist datt si iwwer seng Geschäfts- a Geschäftsrees woussten. Si hunn den MTS-Kontaktzentrum geruff, konnten sech am Numm vum Alexey identifizéieren an d'Opruff-Forwarding ageriicht hunn. Ugräifer konnten seng Passdaten iwwer Social Engineering kréien. Alexey Mironov ass de Grënner vun der Walrecht, sou datt vill Leit, déi un der Ouverture vun der Franchise-Etablissement involvéiert sinn, seng Passinformatioun hunn. MTS huet eng intern Enquête gemaach, awer konnt net bestëmmen, wien genee d'Forwarding installéiert huet a wéi den Ugräifer d'SMS ofgefaangen huet. D'Firma huet net Schold zouginn, awer gläichzäiteg ugebueden Alexey eng ganz komesch Entschiedegung - 750 Rubel.
Mir hu geduecht datt d'Identifikatioun vun engem Abonnent op afstand nëmme mat korrekte perséinlechen Donnéeën eng ganz zweifelhaft Praxis ass a mir hunn eng Plainte un de Roskomnadzor geschriwwen fir d'Konformitéit vun dëser Aart vu Firmeprozess mat den Ufuerderunge vun der Gesetzgebung iwwer perséinlech Donnéeën z'iwwerpréiwen. Als Resultat huet de Roskomnadzor sech mam MTS op der Säit gesat, a weist drop hin, datt d'Gestioun vun Kommunikatiounsservicer no Fernidentifikatioun iwwer Telefon, wärend déi richteg perséinlech Donnéeën ubidden, ganz normal ass, an zousätzlech Schutzmethoden géint dës Aart vun onerlaabten Handlungen z'erhalen ass e Kappwéi fir den Abonnent selwer, net d'Firma. (liest déi ganz Äntwert - )
Den Hacking vum Alexey Mironov säi Kont ass net den éischte Fall vun onerlaabten Zougang zu MTS Abonnentdaten. Am Joer 2018, d'Datebank vun 500 dausend Abonnente zu Novosibirsk zwee Ugräifer, ee vun deenen war e Betrib Employé. Si hu probéiert d'Datebank zu engem Präis vun 1 Rubel fir d'Donnéeë vun engem Abonnent ze verkafen.
2016 goufen et Telegram Konte vun Oppositioun Aktivisten Georgy Alburov an Oleg Kozlovsky. Hir Konte ware mat MTS-Nummeren verlinkt, a kuerz virum Hack gouf hiren SMS-Service ausgeschalt an d'Forwarding aktivéiert. D'Ëmstänn vum Abroch waren och net festgestallt. Am Joer 2019 huet den Oleg Kozlovsky e Prozess géint MTS gemaach, awer d'Geriicht huet et refuséiert.
De Schutz vu Konte vu verschiddene Webservicer an Uwendungen virum Hacking ass d'Verantwortung vum Benotzer selwer. Dës Positioun gëtt gedeelt vu béide Telekomoperateuren an dem Regulateur selwer, no deem se refuséieren dës Risiken mat hiren eegene Abonnenten ze deelen.
RKN beschreift et esou a senger Äntwert:
"... Laut Klausel 2.11 vun de MTS Bedéngungen, fir Identifikatiounszwecker, kréien Abonnente vum Telekomoperateur d'Méiglechkeet e Code Word ze benotzen - eng Sequenz vu Symboler (Buschtawen, Zuelen) déi vum Abonnent an der Form etabléiert ass de Bedreiwer, deen déngt fir den Abonnent z'identifizéieren beim Ausféierung vum Ofkommes. Den Abonnent huet d'Méiglechkeet e Code Wuert ze setzen souwuel beim Ofschloss vun engem Accord (an dësem Fall ass et an der Ofkommesform zesumme mat den obligatoresche Detailer aginn) an zu all Moment während der Ausféierung vum Ofkommes. Trotz dëser, Abonnent Mironov A.K. de Code Wuert war net virun der ëmstridden Verbindung vum Service gesat. Ënner esou Ëmstänn konnt nëmmen den Abonnent, andeems hien e Codewuert bei der Identifikatioun mam Telekomoperateur feststellt, de Risiko vun negativen Konsequenzen aus esou Situatiounen neutraliséieren, awer huet dës Chance net profitéiert.
Kont Erhuelung. Missioun onméiglech
Eng Plainte iwwer d'Inaktioun vu Roskomnadzor gouf scho beim Parquet gemaach. Mëttlerweil bleift d'Police weider roueg iwwer de Kriminalbericht. Keen bericht och eppes bannent der Firma iwwer d'Resultater vun der Enquête. MTS gëtt keng Schold zou. Keen egal. Gläichzäiteg, VKontakte weider de Kont Besëtzer ze refuséieren Zougang zu et ze restauréieren, bis hien vun der Police eng Resolutioun bréngt e kriminellen Fall ze initiéieren déi spezifizéiert Fakten an e Bréif vun MTS etabléiert, déi confirméieren, datt de Viruleedung Service contestable ass. Am Bréif mat zimlech extensiv Erklärungen gëtt et och eng Fuerderung datt Mironov och e Certificat vum MTS muss ubidden datt hien den eenzegen (a wat, iergendwou Bedreiwer registréiere gemeinsame Besëtz vun Telefonsnummeren?) Benotzer vun der Telefonsnummer ass, déi verbonne war der Säit. D'Äntwert ass um Enn vun der leschter Woch ukomm, a wéinst der Deadlock an der Situatioun an der Onméiglechkeet fir en Accord mat VKontakte fir sechs Méint z'erreechen, si mir viru Geriicht gaang.
Wéi schützt Dir Iech virum Hacking
Ugräifer kënnen och Zougang kréien fir eng Telefonsnummer ze managen duerch aner Schwachstelle - de SS7 Protokoll oder eng Duplikat SIM Kaart mat der Hëllef vun skrupellosen Bedreiwer Mataarbechter ze kréien.
SS7 ass en technesche Protokoll deen vun Telekomoperateuren benotzt gëtt. Et enthält en alen a scheinbar net eraushuelbare , wat Iech erlaabt Daten, déi vun Abonnente wärend engem Uruff oder per SMS iwwerdroe ginn, z'ënnerscheeden. Nëmmen Opérateuren hunn Zougang zu SS7, awer Ugräifer kënnen et kréien andeems se Zougang am Darknet vun Betreiber an ënnerentwéckelte Länner oder duerch skrupellos Mataarbechter vu mobilen Opérateuren kafen. En Attack geschitt wann en Ugräifer d'Adress vum Abonnent seng Rechnungssystem op seng eegen Adress ännert. Déi meescht Oft informéieren Ugräifer de System datt den Abonnent am internationale Roaming ass, sou datt deen einfachste Wee fir Iech selwer ze schützen ass den internationale Roaming auszeschalten wann Dir se net benotzt.
Alexey Mironov huet nach keen Zwee-Faktor Authentifikatiounssystem fir Vkontakte konfiguréiert. Dës Funktioun Juni 2014 zu VK. Vläicht kéint si säi Kont schützen géint gehackt. Et ass derwäert ze erënneren datt einfach e Kont op eng Telefonsnummer verbënnt net zwee-Faktor Authentifikatioun. - dëst ass de Schutz vum Login op e Kont, wann nieft dem Passwuert eng aner Aktioun ausgefouert gëtt. Déi meescht üblech Optioun ass en SMS Code. Dës Method ass net déi zouverlässegst, well Ugräifer d'SMS Message kënnen ofbriechen. Méi sécher Optiounen sinn eng Schlësseldatei, temporär Coden, eng mobil Applikatioun an en Hardware Token.
Leider si mir gezwongen an enger Ära ze liewen, wou d'Sécherheet vun der Datesécherheet eisen eegene Problem gëtt. Si hoffen, datt d'Bedreiwer onofhängeg Verantwortung am Fall vun engem Hack droen, awer anscheinend ass dat net de Fall. Wéi och op Roskomnadzor vertrauen, déi laang vun der Realitéit a sengen Dateschutzpraktiken gescheed ass. Et ass onheemlech schwéier d'Rüstung vum "Refusmaterial" vum lokalen Polizist ze duerchbriechen, deen Är Demande an engem ähnleche Fall kritt, besonnesch fir eng normal Persoun, déi net weess wéi dëse System funktionnéiert. Wat bleift? Vergiesst net iwwer digital Hygiène, Vertrau Mathematik a verdeedegt Är Rechter viru Geriicht.
Source: will.com