Nangalatra ny pejin'ny VKontakte an'ny mpandraharaha Alexey Mironov ny mpisoloky noho ny vulnerability amin'ny rafitra famantarana ny mpanjifa MTS. Tsy namerina izany tamin’ny tompony mihitsy ny tambajotra sosialy ary mitaky izay tsy azo atao aminy. Ankehitriny dia mitory an'i VKontakte izy noho izany. Misolo tena azy ny Foiben'ny Zon'ny Digital.
Alexey Mironov no mpanorina ny rojo kafe Jeffrey. Ity dia franchise amin'ny fivarotana kafe any Moskoa sy ny faritra. Matetika i Alexey no nifandray tamin'ny mpiara-miasa sy ny mpiara-miasa ao amin'ny VKontakte ary nitazona pejy ho an'ny daholobe malaza indrindra ho an'ny tambajotrany any, izay misy mpanjifa maherin'ny 50.
Tamin'ny Novambra 2018, vao maraina, raha nanao fitsangatsanganana ara-barotra tany Shina i Alexey, dia nisy nijirika ny pejiny VKontakte. Nahazo SMS avy amin'ny VKontakte, WhatsApp ary hafatra avy amin'ny mpandraharaha MTS izy, izay nilaza fa napetraka ny fandefasana amin'ny laharana hafa. Alexey tsy nametraka ny forwarding, ka tonga dia nanahy ary niantso MTS. Tsy nofaritan'izy ireo avy hatrany fa nisy tokoa ny redirect. Adin'ny roa monja taorian'ny niantsoan'i Alexey dia afaka namono azy io ilay mpandraharaha. Tsy nahita angon-drakitra momba ny fomba sy ny fotoana nampandehanana ny fandefasana ny MTS.
Alexey dia nanamarina ny fidirana amin'ny tambajotra sosialy sy ny iraka avy hatrany ary hitany fa tsy afaka miditra amin'izy ireo intsony amin'ny alàlan'ny laharan-telefaonany. Nampifandray laharana hafa tamin'ny kaontiny ireo mpijirika. Miaraka amin'ny WhatsApp dia voavaha haingana ny olana. Avy hatrany taorian'ny nanafoanana ny fandefasana dia namerina ny fidirana amin'ny kaonty ho an'ny tompony marina ilay iraka.
Nanoratra tany amin'ny fanohanana VKontakte i Alexey nangataka ny hamerina ny pejy ary nandefa ny sarin'ny pasipaorony. Ny hariva dia naharay SMS izy fa nolavina ny fangatahana, satria ny tompony ankehitriny dia nanamafy ny zon'ny fidirana.
Nanambara ny manam-pahaizana manokana momba ny fanohanana ara-teknika fa afaka mamindra an-tsitrapo ny fidirana amin'ny pejiny amin'ny antoko fahatelo i Alexey, ka tsy haverin'izy ireo ny fidirany. Alexey dia nanazava ny toe-javatra hacking, saingy nasaina nandefa taratasy fanamafisana avy amin'ny MTS izy, izay hanamafisan'ny mpandraharaha fa nisy hack. Alexey nanome taratasy avy amin'ny MTS. Taorian'izany, ny fitantanana ny VKontakte dia nangataka ny hanamarinan'ny polisy ity taratasy ity. Sarotra tokoa ny manatanteraka izany fepetra izany satria tsy anjaran’ny mpitandro filaminana ny manamarina ny taratasy sy ny taratasin’ny mpanao sonia. Tsy vitan'i Alexey ny nanakana ny pejy voajirika raha tsy nangataka manokana ny mpiasany VKontakte hanao izany. Mbola tsy tafaverina ny pejy. Ny hany zavatra azon'i Alexey dia ny fanakanana ny kaontiny. Ankehitriny na ny mpisoloky na ny tenany dia tsy afaka mampiasa izany.
Ny serivisy fanohanana VKontakte dia tantara hafa. Ireo mpampiasa nahazo alalana ihany no afaka mifandray amin'ny serivisy fanohanana VKontakte. Midika izany fa raha very ny fidirana amin'ny pejinao ianao dia tsy maintsy mamorona vaovao na mangataka amin'ny namanao hanome fidirana amin'ny pejiny mba hanoratra ho fanohanana. Alexey dia nifandray tamin'ny manam-pahaizana momba ny serivisy fanohanana avy amin'ny pejin'ny vadiny, ary tsy nanelingelina azy ireo izany, na dia tsy mamela ny famindrana ny fidirana sy ny tenimiafina amin'ny olon-kafa aza ny Fifanarahana mpampiasa.
Ny fijinjana ny pejy sy ny fahaverezan'ny fidirana amin'ny kaonty sy ny pejy ho an'ny daholobe dia mazava ho azy fa nanimba ny lazan'ny orinasan'i Alexey sy ny tombontsoan'ny fananany. Tsy lazaina intsony fa namela fampahalalana manokana sy ara-barotra be dia be hiporitsaka any amin'ny toerana tsy fantatra. Niangavy ny namany ireo mpisoloky avy amin’ny kaontin’ilay mpandraharaha mba hamindra vola be ho azy ireo. Olona iray no namindra azy ireo 34 arivo roubles. Nahazo fampahalalana manokana avy amin'ny kaontin'i Alexey nandritra ny XNUMX ora ireo mpanafika.
Fitoriana momba ny VKontakte
Nametraka fitoriana tamin'ny tambajotra sosialy VKontakte tao amin'ny Fitsaràna Distrika Smolninsky ao Saint-Pétersbourg i Alexey Mironov ary miandry ny fanendrena ny raharaha. Mangataka amin'ny fitsarana izy mba hanery ny tambajotra sosialy hanatanteraka ny fifanarahana manokana, nofaranana tamin'ny endrika fifanarahana amin'ny mpampiasa, ary hamerina azy hiditra amin'ny pejiny. Hatramin'izao, ny fitantanan'i VKontakte dia manohy manaisotra an'i Alexey amin'ny fidirana amin'ny kaontiny tsy amin'ny antonony, raha toa ka nanaraka ny fepetran'ny fifanarahana mpampiasa izy ary nampahafantatra avy hatrany ny serivisy fanohanana ara-teknika ny tambajotra sosialy momba ny hack. Nandà ny hamerina ny fidirana amin'ny pejy ny VKontakte, amin'ny fitanisana fehezan-dalàna ao amin'ny Fifanarahana Mpampiasa izay mandrara ny mpampiasa hamindra ny fidirana amin'ny pejiny sy ny tenimiafina amin'ny antoko fahatelo. Ny mpiasan'ny fanohanana VKontakte izay niresahan'i Alexey dia nilaza fa afaka manangana fandefasana nomeraon-telefaona ianao raha tsy mitsidika ny biraon'ny mpandraharaha sy manolotra ny pasipaoronao. Raha ny marina, tsy izany no izy, ary nohamafisin'ny Roskomnadzor ho setrin'ny fiangavian'i Alexey.
Ny tambajotra sosialy, izay manitsakitsaka ny fifanarahana amin'ny mpampiasa, dia nametra tsy ara-drariny ny fahafahan'i Alexey mampiasa ny pejiny. Izany dia fandavana tokana tsy hanatanteraka adidy, mandika ny paragrafy 1 amin'ny Art. 30 Code Civil ao amin'ny Federasiona Rosiana. Tamin'ny fanalana azy tsy hiditra amin'ny kaontiny, dia nesorin'i VK ihany koa ny zon'i Alexey hitantana ny pejiny ho an'ny daholobe, izay harena tsy azo tsapain-tanana ho azy. (Nanoratra momba ny tsenam-bahoaka izahay ho endrika vaovao amin'ny fananana nomerika sy ny mampiavaka ny fifampiraharahana amin'izy ireo )
Lavaka fiarovana amin'ny rafitra famantarana MTS
Ny taratasin-taratasy nataon’ireo mpisoloky tamin’ny anaran’ilay mpandraharaha dia mampiseho fa fantany ny raharaha sy ny diany. Niantso ny foibem-pifandraisana MTS izy ireo, afaka nahafantatra ny tenany tamin'ny anaran'i Alexey ary nanangana ny fandefasana antso. Ireo mpanafika dia afaka mahazo ny angon-drakitra pasipaorony amin'ny alàlan'ny injeniera sosialy. Alexey Mironov no mpanorina ny franchise, noho izany dia maro ny olona voarohirohy amin'ny fanokafana orinasa franchise afaka manana ny mombamomba ny pasipaorony. Nanao fanadihadiana anatiny ny MTS, saingy tsy afaka namaritra hoe iza marina no nametraka ny fandefasana sy ny fomba nanakanana ny SMS. Ny orinasa dia tsy niaiky ho meloka, fa tamin'izany andro izany nanolotra Alexey onitra tena hafahafa - 750 roubles.
Noheverinay fa fomba tena mampiahiahy ny famantarana ny mpanjifa avy lavitra raha tsy mampiasa angon-drakitra manokana ary nanoratra fitarainana tany amin'ny Roskomnadzor mba hanamarina ny fanarahana ity karazana fizotran'ny orinasa ity amin'ny fepetra takian'ny lalàna momba ny angon-drakitra manokana. Vokatr'izany, niandany tamin'ny MTS ny Roskomnadzor, nanamarika fa ny fitantanana ny tolotra fifandraisana aorian'ny famantarana lavitra amin'ny alàlan'ny telefaona ary manome ny angon-drakitra manokana dia tena mahazatra, ary ny fametrahana fomba fiarovana fanampiny amin'ity karazana hetsika tsy nahazoana alalana ity dia aretin'andoha ho an'ny mpanjifa, fa tsy ny orinasa . (vakio ny valiny feno - )
Ny fijirihana ny kaontin'i Alexey Mironov dia tsy tranga voalohany amin'ny fidirana tsy nahazoana alalana amin'ny angon-drakitra mpanjifa MTS. Tamin'ny taona 2018, ny angon-drakitra misy mpanjifa 500 arivo tao Novosibirsk mpanafika roa, mpiasan'ny orinasa ny iray. Nanandrana nivarotra ny angon-drakitra izy ireo tamin'ny vidin'ny 1 roubles ho an'ny angon'ny mpanjifa iray.
Tamin'ny 2016 dia nisy Kaonty telegrama an'ireo mpikatroka mpanohitra Georgy Alburov sy Oleg Kozlovsky. Nampifandraisina tamin'ny laharan'ny MTS ny kaontin'izy ireo, ary fotoana fohy talohan'ny fijirihana, dia nesorina ny serivisy SMS-n'izy ireo ary navela ny fandefasana. Tsy voafaritra ihany koa ny toe-javatra nisy ny vaky trano. Tamin'ny taona 2019, nametraka fitoriana momba ny MTS i Oleg Kozlovsky, saingy nolavin'ny fitsarana izany.
Ny fiarovana ny kaonty amin'ny serivisy tranonkala sy fampiharana isan-karazany amin'ny hacking dia andraikitry ny mpampiasa mihitsy. Ity toerana ity dia zarain'ny mpandraharahan'ny fifandraisan-davitra sy ny mpandrindra ny tenany, izay tsy manaiky ny hizara ireo loza ireo amin'ny mpanjifany manokana.
RKN dia mamaritra izany toy izao amin'ny valinteniny:
“... Araka ny andininy 2.11 ao amin'ny Fepetra MTS, ho an'ny tanjona famantarana, ireo mpanjifa avy amin'ny mpandraharahan'ny fifandraisan-davitra dia omena fahafahana hampiasa ny Code Word - filaharan'ny marika (taratasy, isa) voatondron'ny Mpanoratra amin'ny endrika napetraky ny ny Opérateur, izay manondro ny Mpanoratra rehefa manatanteraka ny fifanarahana. Ny mpanjifa dia manana fahafahana hametraka teny kaody rehefa mamarana fifanarahana (amin'ity tranga ity dia tafiditra ao amin'ny taratasy fifanarahana miaraka amin'ny antsipiriany tsy maintsy atao) ary amin'ny fotoana rehetra mandritra ny fanatanterahana ny fifanarahana. Na dia eo aza izany, ny mpanjifa Mironov A.K. ny teny kaody dia tsy napetraka alohan'ny fifandraisana misy fifandirana amin'ny serivisy. Amin'ny toe-javatra toy izany, ny mpanjifa ihany, amin'ny fametrahana teny kaody mandritra ny fampahafantarana amin'ny mpandraharaha amin'ny fifandraisan-davitra, dia afaka manafoana ny mety ho voka-dratsin'ny toe-javatra toy izany, saingy tsy nanararaotra izany fahafahana izany.
Famerenana ny kaonty. Mission impossible
Efa nisy fitarainana momba ny tsy fandraisana andraikitra nataon'ny Roskomnadzor tany amin'ny fampanoavana. Etsy andanin’izay dia tsy mitsahatra ny mangina ny mpitandro filaminana manoloana ny tatitra momba ny heloka bevava. Tsy misy mitatitra na inona na inona ao anatin'ny orinasa momba ny valin'ny fanadihadiana ihany koa. Ny MTS dia tsy manaiky meloka. Tsy misy miraharaha. Mandritra izany fotoana izany, ny VKontakte dia manohy mandà ny tompon'ny kaonty amin'ny famerenana amin'ny laoniny ny fidirana amin'izany mandra-pitondrany avy amin'ny polisy ny Fanapahan-kevitra hanombohana raharaha heloka bevava mametraka ny zava-misy voatondro sy ny taratasy avy amin'ny MTS, izay hanamafy fa ny serivisy redirection dia azo ifaninanana. Ao amin'ny taratasy misy fanazavana somary midadasika ihany koa dia misy fepetra ihany koa fa tsy maintsy manome taratasy fanamarinana avy amin'ny MTS i Mironov fa izy irery ihany (ary inona, any amin'ny toerana iray, ny mpandraharaha dia misoratra anarana ho tompon'ny nomeraon-telefaona?) mpampiasa ny nomeraon-telefaona mifandray amin'ny ny pejy. Tonga ny valiny tamin'ny faran'ny herinandro lasa teo, ary noho ny fahatapahan'ny toe-draharaha sy ny tsy fahafahan'ny fifanarahana amin'ny VKontakte nandritra ny enim-bolana izao, dia niakatra fitsarana izahay.
Ahoana ny fiarovana ny tenanao amin'ny hacking
Ireo mpanafika dia afaka mahazo fidirana amin'ny fitantanana nomeraon-telefaona amin'ny alàlan'ny vulnerability hafa - ny protocol SS7 na ny fahazoana karatra SIM dika mitovy amin'ny fanampian'ny mpiasan'ny mpandraharaha tsy manara-penitra.
SS7 dia protocole ara-teknika ampiasain'ny mpandraharaha telecom. Misy antitra ary toa tsy azo esorina , izay ahafahanao manakana ny angon-drakitra ampitain'ny mpanjifa mandritra ny antso na amin'ny SMS. Ireo mpandraharaha ihany no afaka miditra amin'ny SS7, fa ny mpanafika dia afaka mahazo izany amin'ny fividianana fidirana amin'ny darknet avy amin'ireo mpandraharaha any amin'ny firenena tsy mandroso na amin'ny alàlan'ny mpiasa tsy misy fepetra amin'ny mpandraharaha finday. Mitranga ny fanafihana rehefa manova ny adiresin'ny rafitra faktiora ho an'ny adiresiny ny mpanafika. Matetika indrindra, ny mpanafika dia mampahafantatra ny rafitra fa ny mpanjifa dia ao anatin'ny roaming iraisam-pirenena, ka ny fomba mora indrindra hiarovana ny tenanao dia ny manaisotra ny roaming iraisam-pirenena raha tsy mampiasa azy ianao.
Alexey Mironov dia tsy mbola manana rafitra fanamarinana roa-antony voarindra ho an'ny Vkontakte. Ity asa ity ao amin'ny VK tamin'ny Jona 2014. Angamba afaka niaro ny kaontiny tsy ho voajirika izy. Tsara hotadidina fa ny mampifandray kaonty amin'ny laharan-telefaona fotsiny dia tsy fanamarinana roa. — izany no fiarovana ny fidirana amin'ny kaonty rehefa, ankoatry ny tenimiafina, dia misy hetsika hafa atao. Ny safidy mahazatra indrindra dia ny kaody SMS. Ity fomba ity dia tsy azo itokisana indrindra, satria ny mpanafika dia afaka manakana ny hafatra SMS. Ny safidy azo antoka kokoa dia rakitra manan-danja, kaody vonjimaika, fampiharana finday ary marika fitaovana.
Indrisy anefa fa voatery miaina ao anatin'ny vanim-potoana izay mahatonga ny fiarovana ny angon-drakitra ho lasa olana ho antsika manokana. Manantena izy ireo fa handray andraikitra tsy miankina ny mpandraharaha raha misy hack, saingy toa tsy izany no izy. Toy izany koa ny fiankinan-doha amin'ny Roskomnadzor, izay efa nisaraka hatry ny ela tamin'ny zava-misy tamin'ny fomba fiarovana ny angona. Sarotra be ny mamaky ny fiadian'ny "fitaovana fandavana" an'ny polisy eo an-toerana izay handray ny fangatahanao amin'ny tranga mitovy amin'izany, indrindra ho an'ny olon-tsotra izay tsy mahalala ny fomba fiasan'ity rafitra ity. Inona no tavela? Aza adino ny fahadiovana nomerika, matokia matematika ary arovy ny zonao eny amin'ny fitsarana.
Source: www.habr.com