KrÄpnieki nozaga uzÅÄmÄja Alekseja Mironova VKontakte lapu MTS klientu identifikÄcijas sistÄmas ievainojamÄ«bas dÄļ. SociÄlais tÄ«kls to nekad nav atdevis savam Ä«paÅ”niekam un prasa no viÅa neiespÄjamo. Tagad viÅÅ” par to iesÅ«dz VKontakte. ViÅu pÄrstÄv DigitÄlo tiesÄ«bu centrs.
Aleksejs Mironovs ir Jeffrey's Coffee Ä·Ädes dibinÄtÄjs. Å Ä« ir kafejnÄ«cu franŔīze MaskavÄ un reÄ£ionos. Aleksejs bieži sazinÄjÄs ar kolÄÄ£iem un partneriem vietnÄ VKontakte un tur uzturÄja ļoti populÄru sava tÄ«kla publisko lapu, kurÄ bija vairÄk nekÄ 50 000 abonentu.
2018. gada novembrÄ« agri no rÄ«ta, kad Aleksejs bija komandÄjumÄ Ä¶Ä«nÄ, viÅa VKontakte lapa tika uzlauzta. ViÅÅ” saÅÄma SMS no VKontakte, WhatsApp un ziÅu no MTS operatora, kurÄ teikts, ka ir iestatÄ«ta pÄradresÄcija uz citu numuru. Aleksejs neiestatÄ«ja pÄradresÄciju, tÄpÄc viÅÅ” nekavÄjoties satraucÄs un piezvanÄ«ja MTS. ViÅi pat uzreiz nenoteica, ka tieÅ”Äm ir bijusi novirzÄ«Å”ana. Operatoram izdevÄs to izslÄgt tikai divas stundas pÄc Alekseja zvana. MTS nekad neatrada datus par to, kÄ un kad tika aktivizÄta pÄrsÅ«tÄ«Å”ana.
Aleksejs pÄrbaudÄ«ja piekļuvi sociÄlajiem tÄ«kliem un tÅ«lÄ«tÄjiem kurjeriem un redzÄja, ka vairs nevar tajos pieteikties, izmantojot savu tÄlruÅa numuru. Hakeri viÅa kontiem saistÄ«ja citu numuru. Ar WhatsApp problÄma tika Ätri atrisinÄta. TÅ«lÄ«t pÄc pÄrsÅ«tÄ«Å”anas atcelÅ”anas kurjers atjaunoja piekļuvi kontam likumÄ«gajam Ä«paÅ”niekam.
Aleksejs rakstÄ«ja VKontakte atbalsta dienestam, lÅ«dzot atgriezt lapu, un nosÅ«tÄ«ja savas pases fotoattÄlu. VakarÄ viÅÅ” saÅÄma SMS, ka pieteikums ir noraidÄ«ts, jo paÅ”reizÄjais Ä«paÅ”nieks apstiprinÄja piekļuves tiesÄ«bas.
TehniskÄ atbalsta speciÄlists paziÅoja, ka Aleksejs var brÄ«vprÄtÄ«gi nodot piekļuvi savai lapai treÅ”ajÄm personÄm, tÄpÄc tÄs neatjaunos viÅa piekļuvi. Aleksejs paskaidroja uzlauÅ”anas situÄciju, taÄu viÅam tika lÅ«gts nosÅ«tÄ«t apstiprinÄjuma vÄstuli no MTS, kurÄ operators apstiprinÄtu, ka ir notikusi uzlauÅ”ana. Aleksejs sniedza vÄstuli no MTS. PÄc tam VKontakte administrÄcija pieprasÄ«ja, lai Ŕī vÄstule tiktu apstiprinÄta policijÄ. Å o prasÄ«bu ir ļoti grÅ«ti izpildÄ«t, jo policijas funkcija nav apliecinÄt vÄstules un parakstÄ«tÄja pilnvaras. Aleksejs varÄja bloÄ·Ät uzlauzto lapu, tikai personÄ«gi pajautÄjot par to zinÄmajiem VKontakte darbiniekiem. Lapa vÄl nav atgriezta. VienÄ«gais, ko Aleksejs panÄca, bija viÅa konta bloÄ·ÄÅ”ana. Tagad ne krÄpnieki, ne viÅÅ” pats to nevar izmantot.
VKontakte atbalsta pakalpojums ir cits stÄsts. Tikai pilnvaroti lietotÄji var sazinÄties ar VKontakte atbalsta dienestu. Tas nozÄ«mÄ, ka, ja zaudÄjat piekļuvi savai lapai, jums ir jÄizveido jauna vai jÄlÅ«dz draugiem pieŔķirt piekļuvi savÄm lapÄm, lai varÄtu rakstÄ«t atbalstu. Aleksejs sarakstÄ«jÄs ar atbalsta dienesta speciÄlistiem no sievas lapas, un tas viÅus netraucÄja, lai gan lietotÄja lÄ«gums neļauj nodot pieteikumvÄrdu un paroli kÄdam citam.
Lapas uzlauÅ”ana un turpmÄka piekļuves zaudÄÅ”ana kontam un publiskajai lapai acÄ«mredzami kaitÄja gan Alekseja biznesa reputÄcijai, gan viÅa Ä«paÅ”uma interesÄm. Nemaz nerunÄjot par to, ka tas ļÄva ievÄrojamam daudzumam personiskas un komerciÄlas informÄcijas noplÅ«st nezinÄmos galamÄrÄ·os. KrÄpnieki no uzÅÄmÄja konta lÅ«dza viÅa draugiem pÄrskaitÄ«t viÅiem lielas naudas summas. Viena persona viÅiem pÄrskaitÄ«ja 34 tÅ«kstoÅ”us rubļu. UzbrucÄjiem XNUMX stundas bija piekļuve personiskajai informÄcijai no Alekseja konta.
Prasība pret VKontakte
Aleksejs Mironovs SanktpÄterburgas SmoļÅinskas rajona tiesÄ iesniedza prasÄ«bu pret sociÄlo tÄ«klu VKontakte un tagad gaida lietas nodoÅ”anu. ViÅÅ” lÅ«dz tiesu uzlikt par pienÄkumu sociÄlajam tÄ«klam pildÄ«t savu lÄ«gumu, kas noslÄgts LietotÄja lÄ«guma veidÄ, un atdot viÅam piekļuvi savai lapai. VKontakte administrÄcija lÄ«dz pat Å”ai dienai turpina nepamatoti atÅemt Aleksejam piekļuvi savam kontam, kamÄr viÅÅ” apzinÄ«gi ievÄroja LietotÄja lÄ«guma nosacÄ«jumus un nekavÄjoties par uzlauÅ”anu informÄja sociÄlÄ tÄ«kla tehniskÄ atbalsta dienestu. VKontakte atteicÄs atjaunot viÅa piekļuvi lapai, atsaucoties uz LietotÄja lÄ«guma punktu, kas aizliedz lietotÄjiem nodot savas lapas pieteikumvÄrdu un paroli treÅ”ajÄm personÄm. VKontakte atbalsta aÄ£ents, ar kuru Aleksejs runÄja, paziÅoja, ka tÄlruÅa numura pÄrsÅ«tÄ«Å”anu varat iestatÄ«t, tikai apmeklÄjot operatora biroju un uzrÄdot pasi. Faktiski tas tÄ nav, un to apstiprinÄja Roskomnadzor, atbildot uz Alekseja apelÄciju.
SociÄlais tÄ«kls, pÄrkÄpjot LietotÄja lÄ«gumu, nepamatoti ierobežoja Alekseja piekļuvi viÅa lapas lietoÅ”anai. Tas ir vienpusÄjs atteikums pildÄ«t saistÄ«bas, pÄrkÄpjot Art. 1 Krievijas FederÄcijas Civilkodekss. AtÅemot viÅam piekļuvi savam kontam, VK atÅÄma Aleksejam arÄ« tiesÄ«bas administrÄt savu publisko lapu, kas viÅam ir svarÄ«gs nemateriÄlais Ä«paÅ”ums. (RakstÄ«jÄm par publisko tirgu kÄ jaunu digitÄlÄ Ä«paÅ”uma formu un ar to darÄ«jumu slÄgÅ”anas Ä«patnÄ«bÄm
DroŔības caurumi MTS identifikÄcijas sistÄmÄ
UzÅÄmÄja uzdevumÄ krÄpnieku veiktÄ sarakste liecina, ka viÅi zinÄja par viÅa komandÄjumu un komandÄjumu. ViÅi piezvanÄ«ja uz MTS kontaktu centru, varÄja identificÄt sevi Alekseja vÄrdÄ un iestatÄ«t zvanu pÄradresÄciju. UzbrucÄji varÄja iegÅ«t viÅa pases datus, izmantojot sociÄlo inženieriju. Aleksejs Mironovs ir franŔīzes dibinÄtÄjs, tÄpÄc daudziem cilvÄkiem, kas iesaistÄ«ti franŔīzes iestÄžu atvÄrÅ”anÄ, varÄtu bÅ«t viÅa pases informÄcija. MTS veica iekÅ”Äjo izmeklÄÅ”anu, taÄu nevarÄja noteikt, kurÅ” tieÅ”i uzstÄdÄ«ja pÄrsÅ«tÄ«Å”anu un kÄ uzbrucÄjs pÄrtvÄra SMS. UzÅÄmums vainu neatzina, bet tajÄ paÅ”Ä laikÄ piedÄvÄja Aleksejam ļoti dÄ«vainu kompensÄciju - 750 rubļu.
MÄs uzskatÄ«jÄm, ka abonenta attÄlinÄta identificÄÅ”ana, tikai izmantojot pareizus personas datus, ir ļoti apÅ”aubÄma prakse, un rakstÄ«jÄm sÅ«dzÄ«bu Roskomnadzor, lai pÄrbaudÄ«tu Å”Äda veida uzÅÄmuma procesa atbilstÄ«bu tiesÄ«bu aktu prasÄ«bÄm par personas datiem. RezultÄtÄ Roskomnadzor nostÄjÄs MTS pusÄ, norÄdot, ka sakaru pakalpojumu pÄrvaldÄ«Å”ana pÄc attÄlinÄtas identifikÄcijas pa tÄlruni, vienlaikus sniedzot pareizus personas datus, ir diezgan normÄla parÄdÄ«ba, un papildu aizsardzÄ«bas metožu noteikÅ”ana pret Å”Äda veida neatļautÄm darbÄ«bÄm ir galvassÄpes paÅ”am abonentam, nevis uzÅÄmums. (lasÄ«t pilnu atbildi -
Alekseja Mironova konta uzlauÅ”ana nav pirmais nesankcionÄtas piekļuves gadÄ«jums MTS abonenta datiem. 2018. gadÄ datu bÄze par 500 tÅ«kstoÅ”iem abonentu
2016. gadÄ bija
Par dažÄdu tÄ«mekļa pakalpojumu un lietojumprogrammu kontu aizsardzÄ«bu pret uzlauÅ”anu ir atbildÄ«gs pats lietotÄjs. Å Ädai nostÄjai ir gan telekomunikÄciju operatori, gan pats regulators, saskaÅÄ ar kuru viÅi atsakÄs dalÄ«t Å”os riskus ar saviem abonentiem.
RKN savÄ atbildÄ to apraksta Å”Ädi:
ā... AtbilstoÅ”i MTS noteikumu 2.11.punktam telekomunikÄciju operatora abonentiem identifikÄcijas nolÅ«kos tiek dota iespÄja izmantot koda vÄrdu - Abonenta norÄdÄ«to simbolu (burtu, ciparu) secÄ«bu formÄ, kas noteikta Operatoram, kas kalpo Abonenta identificÄÅ”anai, izpildot LÄ«gumu. Abonentam ir iespÄja iestatÄ«t koda vÄrdu gan slÄdzot lÄ«gumu (Å”ajÄ gadÄ«jumÄ tas tiek ierakstÄ«ts lÄ«guma veidlapÄ kopÄ ar obligÄtajiem rekvizÄ«tiem), gan jebkurÄ brÄ«dÄ« lÄ«guma izpildes laikÄ. Neskatoties uz to, abonents Mironovs A.K. koda vÄrds nebija iestatÄ«ts pirms strÄ«dÄ«gÄ pakalpojuma savienojuma. Å Ädos apstÄkļos tikai abonents, identifikÄcijas laikÄ ar telekomunikÄciju operatoru izveidojot koda vÄrdu, varÄja neitralizÄt Å”Ädu situÄciju radÄ«to nelabvÄlÄ«go seku risku, taÄu Å”o iespÄju neizmantoja.
Konta atkopÅ”ana. NeiespÄjamÄ misija
SÅ«dzÄ«ba par Roskomnadzor neizdarÄ«bu jau ir iesniegta prokuratÅ«rÄ. TikmÄr policija par nozieguma ziÅojumu turpina klusÄt. ArÄ« uzÅÄmuma iekÅ”ienÄ par izmeklÄÅ”anas rezultÄtiem neviens neko neziÅo. MTS savu vainu neatzÄ«st. Nevienu neinteresÄ. Vienlaikus VKontakte turpina atteikt konta Ä«paÅ”niekam atjaunot piekļuvi tam, lÄ«dz viÅÅ” no policijas atnes RezolÅ«ciju par kriminÄllietas ierosinÄÅ”anu, kurÄ konstatÄti norÄdÄ«tie fakti, un MTS vÄstuli, kas apstiprinÄs, ka pÄradresÄcijas pakalpojums ir apstrÄ«dams. VÄstulÄ ar diezgan plaÅ”iem paskaidrojumiem ir arÄ« prasÄ«ba, ka Mironovam ir jÄiesniedz arÄ« izziÅa no MTS, ka viÅÅ” ir vienÄ«gais (un ko, kaut kur operatori reÄ£istrÄ kopÄ«paÅ”uma tÄlruÅu numurus?) tÄlruÅa numura, kas tika piesaistÄ«ts, lietotÄjs. lapu. Atbilde tika saÅemta pagÄjuÅ”Äs nedÄļas beigÄs, un, Åemot vÄrÄ situÄcijas strupceļu un neiespÄjamÄ«bu vienoties ar VKontakte jau seÅ”us mÄneÅ”us, vÄrsÄmies tiesÄ.
KÄ pasargÄt sevi no uzlauÅ”anas
UzbrucÄji var piekļūt arÄ« tÄlruÅa numura pÄrvaldÄ«bai, izmantojot citas ievainojamÄ«bas - SS7 protokolu vai SIM kartes dublikÄtu ar negodÄ«gu operatora darbinieku palÄ«dzÄ«bu.
SS7 ir tehniskais protokols, ko izmanto telekomunikÄciju operatori. TajÄ ir vecs un Ŕķietami nenoÅemams
Aleksejam Mironovam Vkontakte vÄl nebija konfigurÄta divu faktoru autentifikÄcijas sistÄma. Å Ä« funkcija
DiemžÄl esam spiesti dzÄ«vot laikmetÄ, kad datu droŔības nodroÅ”inÄÅ”ana kļūst par mÅ«su paÅ”u problÄmu. ViÅi cer, ka operatori neatkarÄ«gi uzÅemsies atbildÄ«bu uzlauÅ”anas gadÄ«jumÄ, taÄu acÄ«mredzot tas tÄ nav. KÄ arÄ« paļauÅ”anÄs uz Roskomnadzor, kas savÄ datu aizsardzÄ«bas praksÄ jau sen ir Ŕķirusies no realitÄtes. Ir neticami grÅ«ti izlauzties cauri vietÄjÄ policista āatteikuma materiÄlaā bruÅÄm, kurÅ” saÅems jÅ«su pieteikumu lÄ«dzÄ«gÄ lietÄ, it Ä«paÅ”i parastam cilvÄkam, kurÅ” nezina, kÄ Å”Ä« sistÄma darbojas. Kas paliek? Neaizmirstiet par digitÄlo higiÄnu, uzticieties matemÄtikai un aizstÄviet savas tiesÄ«bas tiesÄ.
Avots: www.habr.com