Penipu mencuri halaman VKontakte usahawan Alexey Mironov kerana kelemahan dalam sistem pengenalan pelanggan MTS. Rangkaian sosial itu tidak pernah mengembalikannya kepada pemiliknya dan menuntut perkara yang mustahil daripadanya. Sekarang dia menyaman VKontakte untuk ini. Beliau diwakili oleh Pusat Hak Digital.
Alexey Mironov ialah pengasas rantaian Kopi Jeffrey. Ini adalah francais kedai kopi di Moscow dan wilayah. Alexey sering berkomunikasi dengan rakan sekerja dan rakan kongsi di VKontakte dan mengekalkan halaman awam yang sangat popular untuk rangkaiannya di sana, berjumlah lebih daripada 50 pelanggan.
Pada November 2018, pada awal pagi, ketika Alexey dalam perjalanan perniagaan di China, halaman VKontaktenya telah digodam. Dia menerima SMS daripada VKontakte, WhatsApp dan mesej daripada pengendali MTS, yang mengatakan bahawa penghantaran ke nombor lain telah disediakan. Alexey tidak menyediakan pemajuan, jadi dia segera menjadi bimbang dan menelefon MTS. Mereka tidak langsung menentukan bahawa memang ada ubah hala. Pengendali dapat mematikannya hanya dua jam selepas panggilan Alexey. MTS tidak pernah menemui data tentang cara dan bila pemajuan diaktifkan.
Alexey menyemak akses kepada rangkaian sosial dan utusan segera dan melihat bahawa dia tidak lagi boleh log masuk kepada mereka menggunakan nombor telefonnya. Penggodam memautkan nombor lain ke akaunnya. Dengan WhatsApp, isu ini telah diselesaikan dengan cepat. Sejurus selepas membatalkan pemajuan, utusan memulihkan akses kepada akaun kepada pemilik yang sah.
Alexey menulis kepada sokongan VKontakte meminta memulangkan halaman itu dan menghantar foto pasportnya. Pada sebelah petang dia menerima SMS bahawa permohonan itu ditolak, kerana pemilik semasa mengesahkan hak akses.
Pakar sokongan teknikal menyatakan bahawa Alexey boleh secara sukarela memindahkan akses ke halamannya kepada pihak ketiga, jadi mereka tidak akan memulihkan aksesnya. Alexey menjelaskan situasi penggodaman, tetapi dia diminta menghantar surat pengesahan daripada MTS, di mana pengendali akan mengesahkan bahawa penggodaman telah berlaku. Alexey memberikan surat dari MTS. Selepas ini, pentadbiran VKontakte menuntut surat ini disahkan oleh polis. Keperluan ini amat sukar untuk dipenuhi kerana bukan tugas polis untuk mengesahkan surat dan surat tauliah penandatangan. Alexey dapat menyekat halaman yang digodam hanya dengan bertanya secara peribadi kepada pekerja VKontakte yang dia tahu mengenainya. Halaman masih belum dikembalikan. Satu-satunya perkara yang dicapai Alexey ialah menyekat akaunnya. Sekarang baik penipu mahupun dia sendiri tidak boleh menggunakannya.
Perkhidmatan sokongan VKontakte adalah cerita yang berbeza. Hanya pengguna yang diberi kuasa boleh menghubungi perkhidmatan sokongan VKontakte. Ini bermakna jika anda kehilangan akses kepada halaman anda, anda mesti membuat halaman baharu atau meminta rakan anda memberikan akses kepada halaman mereka untuk menulis sebagai sokongan. Alexey menghubungi pakar perkhidmatan sokongan dari halaman isterinya, dan ini tidak mengganggu mereka, walaupun Perjanjian Pengguna tidak membenarkan pemindahan log masuk dan kata laluan kepada orang lain.
Penggodaman halaman dan kehilangan lagi akses kepada akaun dan halaman awam jelas merosakkan reputasi perniagaan Alexey dan kepentingan hartanya. Apatah lagi ini membenarkan sejumlah besar maklumat peribadi dan komersial bocor ke destinasi yang tidak diketahui. Penipu dari akaun ahli perniagaan itu meminta rakan-rakannya untuk memindahkan mereka sejumlah besar wang. Satu orang memindahkan mereka 34 ribu rubel. Penyerang mempunyai akses kepada maklumat peribadi daripada akaun Alexey selama XNUMX jam.
Tuntutan terhadap VKontakte
Alexey Mironov memfailkan tuntutan mahkamah terhadap rangkaian sosial VKontakte di Mahkamah Daerah Smolninsky St. Petersburg dan kini sedang menunggu penugasan kes itu. Dia meminta mahkamah mewajibkan rangkaian sosial untuk memenuhi perjanjiannya sendiri, membuat kesimpulan dalam bentuk Perjanjian Pengguna, dan mengembalikannya akses ke halamannya. Sehingga hari ini, pentadbiran VKontakte terus melucutkan akses Alexey ke akaunnya secara tidak munasabah, sementara dia dengan teliti mematuhi syarat Perjanjian Pengguna dan segera memaklumkan perkhidmatan sokongan teknikal rangkaian sosial mengenai penggodaman itu. VKontakte enggan memulihkan aksesnya ke halaman, memetik klausa dalam Perjanjian Pengguna yang melarang pengguna memindahkan log masuk dan kata laluan halaman mereka kepada pihak ketiga. Ejen sokongan VKontakte yang bercakap dengan Alexey menyatakan bahawa anda boleh menyediakan pemajuan nombor telefon hanya dengan melawat pejabat pengendali dan mengemukakan pasport anda. Sebenarnya, ini tidak berlaku, dan ini telah disahkan oleh Roskomnadzor sebagai tindak balas kepada rayuan Alexey.
Rangkaian sosial, yang melanggar Perjanjian Pengguna, secara tidak munasabah mengehadkan akses Alexey kepada penggunaan halamannya. Ini adalah penolakan unilateral untuk memenuhi kewajipan, melanggar perenggan 1 Seni. 30 Kanun Sivil Persekutuan Rusia. Dengan melucutkan akses kepada akaunnya, VK turut melucutkan hak Alexey untuk mentadbir halaman awamnya, yang merupakan aset tidak ketara yang penting baginya. (Kami menulis tentang pasaran awam sebagai bentuk baharu harta digital dan keistimewaan memuktamadkan transaksi dengan mereka )
Lubang keselamatan dalam sistem pengenalan MTS
Surat-menyurat yang dijalankan oleh penipu bagi pihak usahawan menunjukkan bahawa mereka tahu tentang perniagaan dan perjalanan perniagaannya. Mereka menghubungi pusat hubungan MTS, dapat mengenal pasti diri mereka bagi pihak Alexey dan menyediakan pemajuan panggilan. Penyerang boleh mendapatkan data pasportnya melalui kejuruteraan sosial. Alexey Mironov ialah pengasas francais itu, jadi ramai orang yang terlibat dalam membuka pertubuhan francais boleh mendapatkan maklumat pasportnya. MTS menjalankan siasatan dalaman, tetapi tidak dapat menentukan siapa sebenarnya yang memasang pemajuan dan cara penyerang memintas SMS. Syarikat itu tidak mengaku bersalah, tetapi pada masa yang sama menawarkan Alexey pampasan yang sangat aneh - 750 rubel.
Kami menganggap bahawa mengenal pasti pelanggan dari jauh hanya menggunakan data peribadi yang betul adalah amalan yang sangat meragukan dan menulis aduan kepada Roskomnadzor untuk mengesahkan pematuhan proses syarikat jenis ini dengan keperluan perundangan mengenai data peribadi. Akibatnya, Roskomnadzor memihak kepada MTS, menunjukkan bahawa mengurus perkhidmatan komunikasi selepas pengenalan jauh melalui telefon sambil memberikan data peribadi yang betul adalah perkara biasa, dan mewujudkan kaedah perlindungan tambahan terhadap tindakan tidak dibenarkan seperti ini menyusahkan pelanggan itu sendiri, bukan syarikat . (baca jawapan penuh - )
Penggodaman akaun Alexey Mironov bukanlah kes pertama akses tanpa kebenaran kepada data pelanggan MTS. Pada 2018, pangkalan data 500 ribu pelanggan di Novosibirsk dua penyerang, salah seorang daripadanya adalah pekerja syarikat. Mereka cuba menjual pangkalan data pada harga 1 rubel untuk data seorang pelanggan.
Pada tahun 2016 terdapat Akaun telegram aktivis pembangkang Georgy Alburov dan Oleg Kozlovsky. Akaun mereka telah dipautkan ke nombor MTS, dan tidak lama sebelum penggodaman, perkhidmatan SMS mereka telah dilumpuhkan dan pemajuan telah didayakan. Keadaan pecah masuk juga tidak ditentukan. Pada 2019, Oleg Kozlovsky memfailkan tuntutan mahkamah terhadap MTS, tetapi mahkamah menolaknya.
Melindungi akaun pelbagai perkhidmatan web dan aplikasi daripada penggodaman adalah tanggungjawab pengguna itu sendiri. Kedudukan ini dikongsi oleh kedua-dua pengendali telekomunikasi dan pengawal selia itu sendiri, yang mana mereka enggan berkongsi risiko ini dengan pelanggan mereka sendiri.
RKN menerangkannya dengan cara ini dalam responsnya:
“... Menurut klausa 2.11 Syarat MTS, untuk tujuan pengenalan, pelanggan daripada operator telekom diberi peluang untuk menggunakan Kod Word - urutan simbol (huruf, nombor) yang ditentukan oleh Pelanggan dalam bentuk yang ditetapkan oleh Operator, yang berfungsi untuk mengenal pasti Pelanggan semasa melaksanakan Perjanjian. Pelanggan mempunyai peluang untuk menetapkan kata kod kedua-duanya semasa membuat perjanjian (dalam kes ini ia dimasukkan dalam borang perjanjian bersama dengan butiran mandatori) dan pada bila-bila masa semasa pelaksanaan perjanjian. Walaupun begitu, pelanggan Mironov A.K. perkataan kod tidak ditetapkan sebelum sambungan perkhidmatan yang dipertikaikan. Dalam keadaan sedemikian, hanya pelanggan, dengan mewujudkan kata kod semasa pengenalan dengan pengendali telekomunikasi, boleh meneutralkan risiko akibat buruk daripada situasi sedemikian, tetapi tidak mengambil kesempatan daripada peluang ini."
Pemulihan akaun. Misi yang mustahil
Aduan mengenai tidak bertindak Roskomnadzor telah pun difailkan dengan pejabat pendakwa. Sementara itu, polis terus berdiam diri berhubung laporan jenayah itu. Tiada siapa yang melaporkan apa-apa di dalam syarikat tentang hasil siasatan sama ada. MTS tidak mengaku bersalah. Tiada siapa kisah. Pada masa yang sama, VKontakte terus menolak pemilik akaun untuk memulihkan akses kepadanya sehingga dia membawa daripada polis Resolusi untuk memulakan kes jenayah yang membuktikan fakta yang dinyatakan dan surat daripada MTS, yang akan mengesahkan bahawa perkhidmatan pengalihan itu boleh dipertandingkan. Dalam surat dengan penjelasan yang agak meluas, terdapat juga keperluan bahawa Mironov juga mesti memberikan sijil daripada MTS bahawa dia adalah satu-satunya (dan apa, di suatu tempat pengendali mendaftarkan pemilikan bersama nombor telefon?) pengguna nombor telefon yang dipautkan kepada halaman tersebut. Sambutan tiba pada penghujung minggu lalu, dan memandangkan kebuntuan dalam situasi dan kemustahilan untuk mencapai persetujuan dengan VKontakte selama enam bulan sekarang, kami pergi ke mahkamah.
Bagaimana untuk melindungi diri anda daripada penggodaman
Penyerang juga boleh mendapat akses untuk menguruskan nombor telefon melalui kelemahan lain - protokol SS7 atau mendapatkan kad SIM pendua dengan bantuan pekerja pengendali yang tidak bertanggungjawab.
SS7 ialah protokol teknikal yang digunakan oleh operator telekomunikasi. Ia mengandungi lama dan nampaknya tidak boleh ditanggalkan , yang membolehkan anda memintas data yang dihantar oleh pelanggan semasa panggilan atau melalui SMS. Hanya pengendali yang mempunyai akses kepada SS7, tetapi penyerang boleh mendapatkannya dengan membeli akses pada darknet daripada pengendali di negara kurang membangun atau melalui pekerja pengendali mudah alih yang tidak bertanggungjawab. Serangan berlaku apabila penyerang menukar alamat sistem pengebilan pelanggan kepada alamatnya sendiri. Selalunya, penyerang memaklumkan sistem bahawa pelanggan berada dalam perayauan antarabangsa, jadi cara paling mudah untuk melindungi diri anda adalah dengan melumpuhkan perayauan antarabangsa jika anda tidak menggunakannya.
Alexey Mironov belum mempunyai sistem pengesahan dua faktor yang dikonfigurasikan untuk Vkontakte. Fungsi ini dalam VK pada Jun 2014. Mungkin dia boleh melindungi akaunnya daripada digodam. Perlu diingat bahawa hanya memautkan akaun ke nombor telefon bukanlah pengesahan dua faktor. — ini adalah perlindungan log masuk ke akaun apabila, sebagai tambahan kepada kata laluan, tindakan lain dilakukan. Pilihan yang paling biasa ialah kod SMS. Kaedah ini bukanlah yang paling boleh dipercayai, kerana penyerang boleh memintas mesej SMS. Pilihan yang lebih selamat ialah fail utama, kod sementara, aplikasi mudah alih dan token perkakasan.
Malangnya, kami terpaksa hidup dalam era di mana memastikan keselamatan data menjadi masalah kami sendiri. Mereka berharap pengendali akan bertanggungjawab secara bebas sekiranya berlaku penggodaman, tetapi nampaknya ini tidak berlaku. Serta bergantung kepada Roskomnadzor, yang telah lama bercerai dari realiti dalam amalan perlindungan datanya. Amat sukar untuk menembusi perisai "bahan penolakan" pegawai polis tempatan yang akan menerima permohonan anda dalam kes yang sama, terutamanya bagi orang biasa yang tidak tahu bagaimana sistem ini berfungsi. Apa yang tinggal? Jangan lupa tentang kebersihan digital, amanahkan matematik dan pertahankan hak anda di mahkamah.
Sumber: www.habr.com