Луйварчид MTS-ийн үйлчлүүлэгчийг таних системийн эмзэг байдлын улмаас бизнес эрхлэгч Алексей Мироновын ВКонтакте хуудсыг хулгайлсан байна. Олон нийтийн сүлжээ хэзээ ч эзэндээ буцааж өгөөгүй бөгөөд түүнээс боломжгүй зүйлийг шаардаж байна. Одоо тэр үүний төлөө ВКонтакте-г шүүхэд өгч байна. Түүнийг Дижитал эрхийн төв төлөөлдөг.
Алексей Миронов бол Jeffrey's Coffee сүлжээний үүсгэн байгуулагч юм. Энэ бол Москва болон бүс нутгийн кофе шопуудын франчайз юм. Алексей ВКонтакте дэх хамт олон, түншүүдтэйгээ байнга харилцдаг байсан бөгөөд 50 гаруй захиалагчтай сүлжээндээ маш алдартай олон нийтийн хуудсыг хөтөлдөг байв.
2018 оны арваннэгдүгээр сард, өглөө эрт Алексей Хятадад бизнес аялалаар явж байх үед түүний ВКонтакте хуудас хакерджээ. Тэрээр ВКонтакте, WhatsApp-аас SMS хүлээн авсан бөгөөд MTS оператороос өөр дугаар руу дамжуулахыг тохируулсан гэсэн мессеж ирсэн. Алексей дамжуулалтыг тохируулаагүй тул тэр даруй санаа зовж, MTS руу залгасан. Тэд үнэхээр дахин чиглүүлэлт байгааг тэр даруй тогтоогоогүй. Алексей дуудсанаас хойш хоёр цагийн дараа оператор үүнийг унтрааж чадсан. MTS дамжуулалтыг хэзээ, хэрхэн идэвхжүүлсэн талаарх мэдээллийг хэзээ ч олоогүй.
Алексей нийгмийн сүлжээ, мессенжер рүү нэвтрэх боломжийг шалгаж үзээд утасны дугаараа ашиглан тэдгээрт нэвтрэх боломжгүй болсон байна. Хакерууд өөр дугаарыг түүний данстай холбосон байна. WhatsApp-ийн тусламжтайгаар асуудлыг хурдан шийдсэн. Дамжуулалтыг цуцалсны дараа мессенжер данс руу нэвтрэх эрхийг хууль ёсны эзэмшигчид нь сэргээв.
Алексей "ВКонтакте"-ийн дэмжлэгт хуудсыг буцааж өгөхийг хүсч, паспортынхаа зургийг илгээжээ. Орой нь тэр одоогийн эзэмшигч нэвтрэх эрхийг баталгаажуулсан тул өргөдлийг татгалзсан гэсэн SMS хүлээн авсан.
Техникийн тусламжийн мэргэжилтэн Алексей өөрийн хуудас руу нэвтрэх эрхийг гуравдагч этгээдэд сайн дураар шилжүүлэх боломжтой тул тэд түүний хандалтыг сэргээхгүй гэж мэдэгдэв. Алексей хакердсан нөхцөл байдлын талаар тайлбарласан боловч түүнийг MTS-ээс баталгаажуулах захидал илгээхийг хүссэн бөгөөд оператор нь хакердсан гэдгийг батлах болно. Алексей MTS-ээс захидал өгсөн. Үүний дараа VKontakte-ийн захиргаа энэ захидлыг цагдаагийн газраас баталгаажуулахыг шаардсан. Захидал, гарын үсэг зурсан хүний үнэмлэхийг баталгаажуулах нь цагдаагийн байгууллагын үүрэг биш учраас энэ шаардлагыг биелүүлэхэд маш хэцүү. Алексей энэ талаар мэддэг ВКонтакте-ийн ажилтнуудаас биечлэн асууснаар л хакердсан хуудсыг хааж чадсан юм. Хуудсыг хараахан буцааж өгөөгүй байна. Алексейгийн хүрсэн цорын ганц зүйл бол түүний дансыг хаах явдал байв. Одоо луйварчид ч, тэр өөрөө ч үүнийг ашиглаж чадахгүй.
VKontakte тусламжийн үйлчилгээ бол өөр түүх юм. Зөвхөн эрх бүхий хэрэглэгчид VKontakte тусламжийн үйлчилгээтэй холбоо барьж болно. Энэ нь хэрэв та хуудас руугаа нэвтрэх эрхээ алдсан бол шинийг үүсгэх эсвэл найзуудаасаа дэмжлэг бичихийн тулд хуудас руугаа нэвтрэхийг хүсэх ёстой гэсэн үг юм. Алексей эхнэрийнхээ хуудаснаас тусламж үйлчилгээний мэргэжилтнүүдтэй захидал бичсэн бөгөөд энэ нь тэдэнд төвөг учруулаагүй ч Хэрэглэгчийн гэрээ нь нэвтрэх болон нууц үгээ өөр хүнд шилжүүлэхийг зөвшөөрдөггүй.
Хуудсыг хакердаж, цаашид бүртгэл болон олон нийтийн хуудас руу нэвтрэх эрхээ алдсан нь Алексейгийн бизнесийн нэр хүнд болон түүний өмчийн ашиг сонирхлыг сүйтгэсэн нь ойлгомжтой. Энэ нь хувийн болон арилжааны ихээхэн хэмжээний мэдээлэл үл мэдэгдэх газар руу алдагдах боломжийг олгосон гэдгийг дурдахгүй өнгөрч болохгүй. Бизнесмэний данснаас луйварчид найзуудаасаа их хэмжээний мөнгө шилжүүлэхийг хүссэн. Нэг хүн тэдэнд 34 мянган рубль шилжүүлсэн. Халдагчид Алексейгийн данснаас XNUMX цагийн турш хувийн мэдээлэлд нэвтэрч байсан.
VKontakte-ийн эсрэг зарга
Алексей Миронов ВКонтакте нийгмийн сүлжээний эсрэг Санкт-Петербург хотын Смольнинскийн дүүргийн шүүхэд нэхэмжлэл гаргасан бөгөөд одоо хэргийн томилгоог хүлээж байна. Тэрээр шүүхээс нийгмийн сүлжээг Хэрэглэгчийн гэрээний хэлбэрээр байгуулсан гэрээгээ биелүүлэхийг үүрэг болгож, хуудас руугаа нэвтрэх эрхийг буцааж өгөхийг хүсч байна. Өнөөдрийг хүртэл ВКонтакте-ийн захиргаа Алексейг өөрийн данс руугаа нэвтрэх эрхийг үндэслэлгүйгээр хассан хэвээр байгаа бөгөөд тэрээр Хэрэглэгчийн гэрээний нөхцлийг ухамсартайгаар дагаж мөрдөж, хакердсан талаар нийгмийн сүлжээний техникийн дэмжлэг үзүүлэх үйлчилгээнд нэн даруй мэдэгдэв. ВКонтакте хуудас руу нэвтрэх эрхийг сэргээхээс татгалзаж, Хэрэглэгчийн гэрээнд хэрэглэгчид өөрсдийн хуудасны нэвтрэх нэр, нууц үгээ гуравдагч этгээдэд шилжүүлэхийг хориглосон заалтыг иш татав. Алексейтэй ярилцсан "ВКонтакте"-ийн туслах ажилтан та зөвхөн операторын оффис дээр очиж, паспортоо үзүүлснээр утасны дугаар дамжуулах боломжтой гэж мэдэгдэв. Үнэн хэрэгтээ энэ нь тийм биш бөгөөд Алексейгийн давж заалдах хүсэлтийн хариуд үүнийг Роскомнадзор баталжээ.
Нийгмийн сүлжээ нь хэрэглэгчийн гэрээг зөрчиж, Алексейгийн хуудсыг ашиглах эрхийг үндэслэлгүй хязгаарласан. Энэ нь Урлагийн 1 дэх хэсгийг зөрчсөн үүргээ биелүүлэхээс нэг талын татгалзсан явдал юм. ОХУ-ын Иргэний хууль 30. VK түүнийг данс руугаа нэвтрэх эрхийг нь хассанаар Алексейг өөрийн олон нийтийн хуудсаа удирдах эрхийг нь хассан бөгөөд энэ нь түүний хувьд чухал биет бус хөрөнгө юм. (Бид нийтийн зах зээлийг дижитал өмчийн шинэ хэлбэр болох ба тэдэнтэй гүйлгээ хийх онцлог шинж чанаруудын талаар бичсэн. )
MTS таних систем дэх хамгаалалтын нүхнүүд
Бизнес эрхлэгчийн нэрийн өмнөөс луйварчдын явуулсан захидал харилцаа нь түүний бизнес, бизнес аялалын талаар мэддэг байсныг харуулж байна. Тэд MTS-ийн холбоо барих төв рүү залгаж, Алексейгийн нэрийн өмнөөс өөрсдийгөө таниулж, дуудлага дамжуулах үйлчилгээг тохируулсан. Халдагчид түүний паспортын мэдээллийг нийгмийн инженерчлэлээр дамжуулан авах боломжтой байв. Алексей Миронов бол франчайзын үүсгэн байгуулагч тул франчайзын байгууллагыг нээхэд оролцсон олон хүмүүс түүний паспортын мэдээллийг авах боломжтой. MTS компани дотоод шалгалт хийсэн боловч дамжуулалтыг яг хэн суулгасан, халдагч SMS-г хэрхэн таслан зогсоосныг тогтоож чадаагүй байна. Компани гэм буруугаа хүлээгээгүй ч Алексейд маш хачирхалтай нөхөн төлбөр санал болгов - 750 рубль.
Зөвхөн хувийн мэдээллийг ашиглан захиалагчийг алсаас таних нь маш эргэлзээтэй үйлдэл гэж бид үзэж, компанийн энэ төрлийн үйл явц нь хувийн мэдээллийн тухай хууль тогтоомжийн шаардлагад нийцэж байгаа эсэхийг шалгахын тулд Роскомнадзорт гомдол гаргасан. Үүний үр дүнд Роскомнадзор MTS-ийн талд орж, утсаар алсаас таниулсны дараа харилцаа холбооны үйлчилгээг удирдах, хувийн мэдээллээ зөв өгөх нь хэвийн зүйл бөгөөд энэ төрлийн зөвшөөрөлгүй үйлдлээс хамгаалах нэмэлт аргуудыг бий болгох нь захиалагчийн толгойны өвчин биш гэдгийг онцлон тэмдэглэв. компани . (хариултыг бүрэн уншина уу - )
Алексей Мироновын дансыг хакердсан нь MTS-ийн захиалагчийн мэдээлэлд зөвшөөрөлгүй нэвтэрсэн анхны тохиолдол биш юм. 2018 онд 500 мянган захиалагчийн мэдээллийн сан Новосибирск хотод хоёр халдлага үйлдсэний нэг нь компанийн ажилтан байжээ. Тэд мэдээллийн санг нэг захиалагчийн мэдээллийг 1 рублийн үнээр зарахыг оролдсон.
2016 онд байсан Сөрөг хүчний идэвхтэн Георгий Албуров, Олег Козловский нарын Telegram хаягууд. Тэдний дансууд нь MTS-ийн дугаартай холбоотой байсан бөгөөд хакердахын өмнөхөн SMS үйлчилгээг идэвхгүй болгож, дамжуулалтыг идэвхжүүлсэн байна. Мөн нэвтэрсэн нөхцөл байдал тогтоогдоогүй байна. 2019 онд Олег Козловский MTS-ийн эсрэг нэхэмжлэл гаргасан боловч шүүх түүнийг хүлээж аваагүй.
Төрөл бүрийн вэб үйлчилгээ, програмын бүртгэлийг хакердахаас хамгаалах нь хэрэглэгч өөрөө хариуцдаг. Энэ байр суурийг харилцаа холбооны операторууд болон зохицуулагчид хоёулаа хуваалцдаг бөгөөд үүний дагуу тэд эдгээр эрсдлийг өөрсдийн захиалагчтай хуваалцахаас татгалздаг.
RKN хариултдаа үүнийг ингэж тайлбарлав.
“... MTS-ийн нөхцлийн 2.11-д заасны дагуу харилцаа холбооны операторын захиалагчдыг таних зорилгоор захиалагчийн тогтоосон хэлбэрээр заасан тэмдэгтийн дараалал (үсэг, тоо) - код үг ашиглах боломжийг олгодог. Гэрээг байгуулахдаа захиалагчийг тодорхойлоход үйлчилдэг Оператор. Захиалагч нь гэрээ байгуулахдаа (энэ тохиолдолд энэ нь заавал байх ёстой дэлгэрэнгүй мэдээллийн хамт гэрээний маягт дээр бичигдсэн байдаг) болон гэрээг хэрэгжүүлэх явцад аль ч үед код үгийг тохируулах боломжтой. Гэсэн хэдий ч захиалагч Миронов А.К. үйлчилгээний маргаантай холболтоос өмнө кодын үгийг тохируулаагүй. Ийм нөхцөлд зөвхөн захиалагч нь харилцаа холбооны оператортой танилцахдаа нууц үг бий болгосноор ийм нөхцөл байдлаас үүсэх сөрөг үр дагаврыг саармагжуулах боломжтой байсан ч энэ боломжийг ашиглаагүй."
Бүртгэл сэргээх. Биелэгдэшгүй даалгавар
Роскомнадзорын идэвхгүй байдлын талаарх гомдлыг прокурорын байгууллагад аль хэдийн ирүүлсэн байна. Энэ хооронд цагдаа нар гэмт хэргийн талаарх мэдээлэлд чимээгүй байсаар байна. Мөрдөн байцаалтын үр дүнгийн талаар хэн ч компанид юу ч мэдээлдэггүй. MTS ямар ч гэм буруугаа хүлээн зөвшөөрдөггүй. Хэнд ч хамаагүй. Үүний зэрэгцээ, ВКонтакте нь цагдаагийн газраас заасан баримтыг тогтоосон эрүүгийн хэрэг үүсгэх тогтоол, MTS-ээс дахин чиглүүлэх үйлчилгээ маргаантай болохыг батлах захидал авчрах хүртэл данс эзэмшигчээс түүнд нэвтрэх эрхийг сэргээхээс татгалзсаар байна. Нэлээд өргөн хүрээтэй тайлбар бүхий захидалд Мироновыг MTS-ээс холбосон утасны дугаарыг цорын ганц (ямар газар операторууд утасны дугаарыг хамтран эзэмшдэг вэ?) хэрэглэгч гэсэн гэрчилгээг өгөх ёстой гэсэн шаардлага бий. хуудас. Өнгөрсөн долоо хоногийн сүүлээр хариу ирсэн бөгөөд нөхцөл байдал гацсан, ВКонтакте-тэй зургаан сарын хугацаанд тохиролцоонд хүрэх боломжгүй байгааг харгалзан бид шүүхэд хандсан.
Хакердахаас өөрийгөө хэрхэн хамгаалах вэ
Халдагчид SS7 протокол эсвэл шударга бус операторын ажилтнуудын тусламжтайгаар давхар SIM карт авах зэрэг бусад сул талуудаар дамжуулан утасны дугаарыг удирдах боломжийг олж авах боломжтой.
SS7 нь харилцаа холбооны операторуудын ашигладаг техникийн протокол юм. Энэ нь хуучирсан бөгөөд салгагдаагүй бололтой , энэ нь танд дуудлага хийх эсвэл SMS-ээр дамжуулан захиалагчдын дамжуулсан өгөгдлийг таслах боломжийг олгодог. Зөвхөн операторууд SS7-д хандах эрхтэй боловч халдагчид хөгжөөгүй орнуудын операторуудаас эсвэл үүрэн холбооны операторуудын шударга бус ажилчдаар дамжуулан darknet дээрх хандалтыг худалдан авч болно. Халдагчид захиалагчийн тооцооны системийн хаягийг өөрийн хаягаар өөрчлөх үед халдлага үүсдэг. Ихэнхдээ халдагчид системд захиалагч олон улсын роуминг байгаа гэж мэдээлдэг тул өөрийгөө хамгаалах хамгийн хялбар арга бол хэрэв та үүнийг ашиглахгүй бол олон улсын роумингыг идэвхгүй болгох явдал юм.
Алексей Мироновт Вконтакте-д тохируулсан хоёр хүчин зүйлийн баталгаажуулалтын систем хараахан байгаагүй. Энэ функц 2014 оны XNUMX-р сард ВК-д. Магадгүй тэр түүний бүртгэлийг хакердахаас хамгаалж магадгүй юм. Дансыг утасны дугаартай холбох нь хоёр хүчин зүйлийн баталгаажуулалт биш гэдгийг санах нь зүйтэй. - энэ нь нууц үгээс гадна өөр үйлдэл хийх үед бүртгэлд нэвтрэх хамгаалалт юм. Хамгийн түгээмэл сонголт бол SMS код юм. Халдагчид SMS мессежийг таслан зогсоох боломжтой тул энэ арга нь хамгийн найдвартай биш юм. Илүү найдвартай сонголт бол түлхүүр файл, түр код, гар утасны програм, техник хангамжийн тэмдэг юм.
Харамсалтай нь бид өгөгдлийн аюулгүй байдлыг хангах нь бидний асуудал болсон эрин үед амьдрахаас өөр аргагүйд хүрч байна. Тэд хакердсан тохиолдолд операторууд бие даан хариуцлага хүлээнэ гэж найдаж байгаа ч энэ нь тийм биш бололтой. Мэдээлэл хамгаалах практикт бодит байдлаас удаан хугацаагаар салсан Роскомнадзорт найдаж байна. Үүнтэй төстэй тохиолдолд таны өргөдлийг хүлээн авах орон нутгийн цагдаагийн ажилтны "татгалзах материал" хуяг дуулга, ялангуяа энэ систем хэрхэн ажилладагийг мэдэхгүй энгийн хүний хувьд үнэхээр хэцүү байдаг. Юу үлдэх вэ? Дижитал эрүүл ахуйн талаар бүү мартаарай, математикт итгэж, шүүх дээр эрхээ хамгаалаарай.
Эх сурвалж: www.habr.com