ProHoster > Blogs > Administrācija > Kontu cīņa. Jeffrey's Coffee ķēdes dibinātājs iesūdz VKontakte tiesā

Kontu cīņa. Jeffrey's Coffee ķēdes dibinātājs iesūdz VKontakte tiesā

Krāpnieki nozaga uzņēmēja Alekseja Mironova VKontakte lapu MTS klientu identifikācijas sistēmas ievainojamÄ«bas dēļ. Sociālais tÄ«kls to nekad nav atdevis savam Ä«paÅ”niekam un prasa no viņa neiespējamo. Tagad viņŔ par to iesÅ«dz VKontakte. Viņu pārstāv Digitālo tiesÄ«bu centrs.

Aleksejs Mironovs ir Jeffrey's Coffee ķēdes dibinātājs. Å Ä« ir kafejnÄ«cu franŔīze Maskavā un reÄ£ionos. Aleksejs bieži sazinājās ar kolēģiem un partneriem vietnē VKontakte un tur uzturēja ļoti populāru sava tÄ«kla publisko lapu, kurā bija vairāk nekā 50 000 abonentu.

2018. gada novembrÄ« agri no rÄ«ta, kad Aleksejs bija komandējumā Ķīnā, viņa VKontakte lapa tika uzlauzta. ViņŔ saņēma SMS no VKontakte, WhatsApp un ziņu no MTS operatora, kurā teikts, ka ir iestatÄ«ta pāradresācija uz citu numuru. Aleksejs neiestatÄ«ja pāradresāciju, tāpēc viņŔ nekavējoties satraucās un piezvanÄ«ja MTS. Viņi pat uzreiz nenoteica, ka tieŔām ir bijusi novirzÄ«Å”ana. Operatoram izdevās to izslēgt tikai divas stundas pēc Alekseja zvana. MTS nekad neatrada datus par to, kā un kad tika aktivizēta pārsÅ«tÄ«Å”ana.

Aleksejs pārbaudÄ«ja piekļuvi sociālajiem tÄ«kliem un tÅ«lÄ«tējiem kurjeriem un redzēja, ka vairs nevar tajos pieteikties, izmantojot savu tālruņa numuru. Hakeri viņa kontiem saistÄ«ja citu numuru. Ar WhatsApp problēma tika ātri atrisināta. TÅ«lÄ«t pēc pārsÅ«tÄ«Å”anas atcelÅ”anas kurjers atjaunoja piekļuvi kontam likumÄ«gajam Ä«paÅ”niekam.

Aleksejs rakstÄ«ja VKontakte atbalsta dienestam, lÅ«dzot atgriezt lapu, un nosÅ«tÄ«ja savas pases fotoattēlu. Vakarā viņŔ saņēma SMS, ka pieteikums ir noraidÄ«ts, jo paÅ”reizējais Ä«paÅ”nieks apstiprināja piekļuves tiesÄ«bas.


Tehniskā atbalsta speciālists paziņoja, ka Aleksejs var brÄ«vprātÄ«gi nodot piekļuvi savai lapai treÅ”ajām personām, tāpēc tās neatjaunos viņa piekļuvi. Aleksejs paskaidroja uzlauÅ”anas situāciju, taču viņam tika lÅ«gts nosÅ«tÄ«t apstiprinājuma vēstuli no MTS, kurā operators apstiprinātu, ka ir notikusi uzlauÅ”ana. Aleksejs sniedza vēstuli no MTS. Pēc tam VKontakte administrācija pieprasÄ«ja, lai Ŕī vēstule tiktu apstiprināta policijā. Å o prasÄ«bu ir ļoti grÅ«ti izpildÄ«t, jo policijas funkcija nav apliecināt vēstules un parakstÄ«tāja pilnvaras. Aleksejs varēja bloķēt uzlauzto lapu, tikai personÄ«gi pajautājot par to zināmajiem VKontakte darbiniekiem. Lapa vēl nav atgriezta. VienÄ«gais, ko Aleksejs panāca, bija viņa konta bloÄ·Ä“Å”ana. Tagad ne krāpnieki, ne viņŔ pats to nevar izmantot.

VKontakte atbalsta pakalpojums ir cits stāsts. Tikai pilnvaroti lietotāji var sazināties ar VKontakte atbalsta dienestu. Tas nozÄ«mē, ka, ja zaudējat piekļuvi savai lapai, jums ir jāizveido jauna vai jālÅ«dz draugiem pieŔķirt piekļuvi savām lapām, lai varētu rakstÄ«t atbalstu. Aleksejs sarakstÄ«jās ar atbalsta dienesta speciālistiem no sievas lapas, un tas viņus netraucēja, lai gan lietotāja lÄ«gums neļauj nodot pieteikumvārdu un paroli kādam citam.

Lapas uzlauÅ”ana un turpmāka piekļuves zaudÄ“Å”ana kontam un publiskajai lapai acÄ«mredzami kaitēja gan Alekseja biznesa reputācijai, gan viņa Ä«paÅ”uma interesēm. Nemaz nerunājot par to, ka tas ļāva ievērojamam daudzumam personiskas un komerciālas informācijas noplÅ«st nezināmos galamērÄ·os. Krāpnieki no uzņēmēja konta lÅ«dza viņa draugiem pārskaitÄ«t viņiem lielas naudas summas. Viena persona viņiem pārskaitÄ«ja 34 tÅ«kstoÅ”us rubļu. Uzbrucējiem XNUMX stundas bija piekļuve personiskajai informācijai no Alekseja konta.

Prasība pret VKontakte

Aleksejs Mironovs Sanktpēterburgas Smoļņinskas rajona tiesā iesniedza prasÄ«bu pret sociālo tÄ«klu VKontakte un tagad gaida lietas nodoÅ”anu. ViņŔ lÅ«dz tiesu uzlikt par pienākumu sociālajam tÄ«klam pildÄ«t savu lÄ«gumu, kas noslēgts Lietotāja lÄ«guma veidā, un atdot viņam piekļuvi savai lapai. VKontakte administrācija lÄ«dz pat Å”ai dienai turpina nepamatoti atņemt Aleksejam piekļuvi savam kontam, kamēr viņŔ apzinÄ«gi ievēroja Lietotāja lÄ«guma nosacÄ«jumus un nekavējoties par uzlauÅ”anu informēja sociālā tÄ«kla tehniskā atbalsta dienestu. VKontakte atteicās atjaunot viņa piekļuvi lapai, atsaucoties uz Lietotāja lÄ«guma punktu, kas aizliedz lietotājiem nodot savas lapas pieteikumvārdu un paroli treÅ”ajām personām. VKontakte atbalsta aÄ£ents, ar kuru Aleksejs runāja, paziņoja, ka tālruņa numura pārsÅ«tÄ«Å”anu varat iestatÄ«t, tikai apmeklējot operatora biroju un uzrādot pasi. Faktiski tas tā nav, un to apstiprināja Roskomnadzor, atbildot uz Alekseja apelāciju.

Sociālais tÄ«kls, pārkāpjot Lietotāja lÄ«gumu, nepamatoti ierobežoja Alekseja piekļuvi viņa lapas lietoÅ”anai. Tas ir vienpusējs atteikums pildÄ«t saistÄ«bas, pārkāpjot Art. 1 Krievijas Federācijas Civilkodekss. Atņemot viņam piekļuvi savam kontam, VK atņēma Aleksejam arÄ« tiesÄ«bas administrēt savu publisko lapu, kas viņam ir svarÄ«gs nemateriālais Ä«paÅ”ums. (RakstÄ«jām par publisko tirgu kā jaunu digitālā Ä«paÅ”uma formu un ar to darÄ«jumu slēgÅ”anas Ä«patnÄ«bām pirms tam)

DroŔības caurumi MTS identifikācijas sistēmā

Uzņēmēja uzdevumā krāpnieku veiktā sarakste liecina, ka viņi zināja par viņa komandējumu un komandējumu. Viņi piezvanÄ«ja uz MTS kontaktu centru, varēja identificēt sevi Alekseja vārdā un iestatÄ«t zvanu pāradresāciju. Uzbrucēji varēja iegÅ«t viņa pases datus, izmantojot sociālo inženieriju. Aleksejs Mironovs ir franŔīzes dibinātājs, tāpēc daudziem cilvēkiem, kas iesaistÄ«ti franŔīzes iestāžu atvērÅ”anā, varētu bÅ«t viņa pases informācija. MTS veica iekŔējo izmeklÄ“Å”anu, taču nevarēja noteikt, kurÅ” tieÅ”i uzstādÄ«ja pārsÅ«tÄ«Å”anu un kā uzbrucējs pārtvēra SMS. Uzņēmums vainu neatzina, bet tajā paŔā laikā piedāvāja Aleksejam ļoti dÄ«vainu kompensāciju - 750 rubļu.

Kontu cīņa. Jeffrey's Coffee ķēdes dibinātājs iesūdz VKontakte tiesā

Mēs uzskatÄ«jām, ka abonenta attālināta identificÄ“Å”ana, tikai izmantojot pareizus personas datus, ir ļoti apÅ”aubāma prakse, un rakstÄ«jām sÅ«dzÄ«bu Roskomnadzor, lai pārbaudÄ«tu Ŕāda veida uzņēmuma procesa atbilstÄ«bu tiesÄ«bu aktu prasÄ«bām par personas datiem. Rezultātā Roskomnadzor nostājās MTS pusē, norādot, ka sakaru pakalpojumu pārvaldÄ«Å”ana pēc attālinātas identifikācijas pa tālruni, vienlaikus sniedzot pareizus personas datus, ir diezgan normāla parādÄ«ba, un papildu aizsardzÄ«bas metožu noteikÅ”ana pret Ŕāda veida neatļautām darbÄ«bām ir galvassāpes paÅ”am abonentam, nevis uzņēmums. (lasÄ«t pilnu atbildi - Å”eit)

Alekseja Mironova konta uzlauÅ”ana nav pirmais nesankcionētas piekļuves gadÄ«jums MTS abonenta datiem. 2018. gadā datu bāze par 500 tÅ«kstoÅ”iem abonentu nozaga Novosibirskā divi uzbrucēji, no kuriem viens bija uzņēmuma darbinieks. Viņi mēģināja pārdot datubāzi par cenu 1 rublis par viena abonenta datiem.

2016. gadā bija uzlauzts OpozÄ«cijas aktÄ«vistu Georgija Alburova un Oļega Kozlovska telegrammu konti. Viņu konti bija saistÄ«ti ar MTS numuriem, un neilgi pirms uzlauÅ”anas viņu SMS pakalpojums tika atspējots un tika iespējota pārsÅ«tÄ«Å”ana. ArÄ« ielauÅ”anās apstākļi netika noskaidroti. 2019. gadā Oļegs Kozlovskis iesniedza prasÄ«bu pret MTS, taču tiesa to noraidÄ«ja.

Par dažādu tÄ«mekļa pakalpojumu un lietojumprogrammu kontu aizsardzÄ«bu pret uzlauÅ”anu ir atbildÄ«gs pats lietotājs. Šādai nostājai ir gan telekomunikāciju operatori, gan pats regulators, saskaņā ar kuru viņi atsakās dalÄ«t Å”os riskus ar saviem abonentiem.

RKN savā atbildē to apraksta Ŕādi:
ā€œ... AtbilstoÅ”i MTS noteikumu 2.11.punktam telekomunikāciju operatora abonentiem identifikācijas nolÅ«kos tiek dota iespēja izmantot koda vārdu - Abonenta norādÄ«to simbolu (burtu, ciparu) secÄ«bu formā, kas noteikta Operatoram, kas kalpo Abonenta identificÄ“Å”anai, izpildot LÄ«gumu. Abonentam ir iespēja iestatÄ«t koda vārdu gan slēdzot lÄ«gumu (Å”ajā gadÄ«jumā tas tiek ierakstÄ«ts lÄ«guma veidlapā kopā ar obligātajiem rekvizÄ«tiem), gan jebkurā brÄ«dÄ« lÄ«guma izpildes laikā. Neskatoties uz to, abonents Mironovs A.K. koda vārds nebija iestatÄ«ts pirms strÄ«dÄ«gā pakalpojuma savienojuma. Šādos apstākļos tikai abonents, identifikācijas laikā ar telekomunikāciju operatoru izveidojot koda vārdu, varēja neitralizēt Ŕādu situāciju radÄ«to nelabvēlÄ«go seku risku, taču Å”o iespēju neizmantoja.

Konta atkopÅ”ana. Neiespējamā misija

SÅ«dzÄ«ba par Roskomnadzor neizdarÄ«bu jau ir iesniegta prokuratÅ«rā. Tikmēr policija par nozieguma ziņojumu turpina klusēt. ArÄ« uzņēmuma iekÅ”ienē par izmeklÄ“Å”anas rezultātiem neviens neko neziņo. MTS savu vainu neatzÄ«st. Nevienu neinteresē. Vienlaikus VKontakte turpina atteikt konta Ä«paÅ”niekam atjaunot piekļuvi tam, lÄ«dz viņŔ no policijas atnes RezolÅ«ciju par krimināllietas ierosināŔanu, kurā konstatēti norādÄ«tie fakti, un MTS vēstuli, kas apstiprinās, ka pāradresācijas pakalpojums ir apstrÄ«dams. Vēstulē ar diezgan plaÅ”iem paskaidrojumiem ir arÄ« prasÄ«ba, ka Mironovam ir jāiesniedz arÄ« izziņa no MTS, ka viņŔ ir vienÄ«gais (un ko, kaut kur operatori reÄ£istrē kopÄ«paÅ”uma tālruņu numurus?) tālruņa numura, kas tika piesaistÄ«ts, lietotājs. lapu. Atbilde tika saņemta pagājuŔās nedēļas beigās, un, ņemot vērā situācijas strupceļu un neiespējamÄ«bu vienoties ar VKontakte jau seÅ”us mēneÅ”us, vērsāmies tiesā.

Kontu cīņa. Jeffrey's Coffee ķēdes dibinātājs iesūdz VKontakte tiesā

Kā pasargāt sevi no uzlauŔanas

Uzbrucēji var piekļūt arī tālruņa numura pārvaldībai, izmantojot citas ievainojamības - SS7 protokolu vai SIM kartes dublikātu ar negodīgu operatora darbinieku palīdzību.

SS7 ir tehniskais protokols, ko izmanto telekomunikāciju operatori. Tajā ir vecs un Ŕķietami nenoņemams ievainojamÄ«ba, kas ļauj pārtvert datus, ko abonenti pārsÅ«ta sarunas laikā vai ar SMS. Tikai operatoriem ir piekļuve SS7, bet uzbrucēji to var iegÅ«t, pērkot piekļuvi tumÅ”ajā tÄ«klā no operatoriem mazattÄ«stÄ«tās valstÄ«s vai ar negodÄ«giem mobilo sakaru operatoru darbiniekiem. Uzbrukums notiek, kad uzbrucējs maina abonenta norēķinu sistēmas adresi uz savu adresi. Visbiežāk uzbrucēji informē sistēmu, ka abonents piedalās starptautiskajā viesabonÄ“Å”anā, tāpēc vienkārŔākais veids, kā sevi pasargāt, ir atspējot starptautisko viesabonÄ“Å”anu, ja to neizmantojat.

Aleksejam Mironovam Vkontakte vēl nebija konfigurēta divu faktoru autentifikācijas sistēma. Å Ä« funkcija parādÄ«jās VK 2014. gada jÅ«nijā. VarbÅ«t viņa varētu aizsargāt viņa kontu no uzlauÅ”anas. Ir vērts atcerēties, ka vienkārÅ”a konta saistÄ«Å”ana ar tālruņa numuru nav divu faktoru autentifikācija. Divu faktoru autentifikācija ā€” Ŕī ir konta pieteikÅ”anās aizsardzÄ«ba, kad papildus parolei tiek veikta cita darbÄ«ba. VisizplatÄ«tākā iespēja ir SMS kods. Å Ä« metode nav visuzticamākā, jo uzbrucēji var pārtvert Ä«sziņu. DroŔākas iespējas ir atslēgas fails, pagaidu kodi, mobilā lietojumprogramma un aparatÅ«ras marÄ·ieris.

Diemžēl esam spiesti dzÄ«vot laikmetā, kad datu droŔības nodroÅ”ināŔana kļūst par mÅ«su paÅ”u problēmu. Viņi cer, ka operatori neatkarÄ«gi uzņemsies atbildÄ«bu uzlauÅ”anas gadÄ«jumā, taču acÄ«mredzot tas tā nav. Kā arÄ« paļauÅ”anās uz Roskomnadzor, kas savā datu aizsardzÄ«bas praksē jau sen ir Ŕķirusies no realitātes. Ir neticami grÅ«ti izlauzties cauri vietējā policista ā€œatteikuma materiālaā€ bruņām, kurÅ” saņems jÅ«su pieteikumu lÄ«dzÄ«gā lietā, it Ä«paÅ”i parastam cilvēkam, kurÅ” nezina, kā Ŕī sistēma darbojas. Kas paliek? Neaizmirstiet par digitālo higiēnu, uzticieties matemātikai un aizstāviet savas tiesÄ«bas tiesā.

Kontu cīņa. Jeffrey's Coffee ķēdes dibinātājs iesūdz VKontakte tiesā

Avots: www.habr.com

Pievieno komentāru