Il-frodisti serqu l-paġna VKontakte tal-imprenditur Alexey Mironov minħabba vulnerabbiltà fis-sistema ta 'identifikazzjoni tal-klijenti MTS. In-netwerk soċjali qatt ma rritornah lil sidha u qed jitlob minnu l-impossibbli. Issa qed ifittex lil VKontakte għal dan. Huwa rappreżentat miċ-Ċentru għad-Drittijiet Diġitali.
Alexey Mironov huwa l-fundatur tal-katina Jeffrey's Coffee. Din hija franchise ta 'ħwienet tal-kafè f'Moska u r-reġjuni. Alexey spiss ikkomunika mal-kollegi u l-imsieħba fuq VKontakte u żamm paġna pubblika popolari ħafna għan-netwerk tiegħu hemmhekk, li jgħodd aktar minn 50 abbonat.
F'Novembru 2018, kmieni filgħodu, meta Alexey kien fuq vjaġġ tan-negozju fiċ-Ċina, il-paġna VKontakte tiegħu ġiet hacked. Huwa rċieva SMS mingħand VKontakte, WhatsApp u messaġġ mill-operatur MTS, li qal li twasslet għal numru ieħor. Alexey ma waqqafx it-trażmissjoni, għalhekk immedjatament inkwetat u sejjaħ MTS. Lanqas ma ddeterminaw immedjatament li tabilħaqq kien hemm redirect. L-operatur seta’ jitfiha biss sagħtejn wara t-telefonata ta’ Alexey. MTS qatt ma sab dejta dwar kif u meta t-twassil ġie attivat.
Alexey ċċekkja l-aċċess għan-netwerks soċjali u l-messaġġiera instantanja u ra li ma setax jidħol aktar magħhom billi juża n-numru tat-telefon tiegħu. Il-hackers rabtu numru ieħor mal-kontijiet tiegħu. B'WhatsApp il-kwistjoni ġiet solvuta malajr. Immedjatament wara li kkanċella t-twassil, il-messaġġier reġa' rrestawra l-aċċess għall-kont lis-sid leġittimu.
Alexey kiteb lill-appoġġ ta 'VKontakte talab biex jirritorna l-paġna u bagħat ritratt tal-passaport tiegħu. Filgħaxija rċieva SMS li l-applikazzjoni ġiet miċħuda, peress li s-sid attwali kkonferma d-dritt tal-aċċess.
Speċjalista ta' appoġġ tekniku ddikjara li Alexey jista' volontarjament jittrasferixxi l-aċċess għall-paġna tiegħu lil partijiet terzi, u għalhekk ma jirrestawrawx l-aċċess tiegħu. Alexey spjega s-sitwazzjoni tal-hacking, iżda kien mitlub jibgħat ittra ta 'konferma minn MTS, li fiha l-operatur jikkonferma li kien seħħ hack. Alexey ipprovda ittra minn MTS. Wara dan, l-amministrazzjoni VKontakte talbet li din l-ittra tiġi ċċertifikata mill-pulizija. Dan ir-rekwiżit huwa diffiċli ħafna biex jiġi sodisfatt għaliex mhijiex il-funzjoni tal-pulizija li tiċċertifika l-ittri u l-kredenzjali tal-firmatarju. Alexey seta' jimblokka l-paġna hacked biss billi staqsa personalment lill-impjegati ta 'VKontakte li kien jaf biha. Il-paġna għadha ma ġietx irritornata. L-unika ħaġa li Alexey kiseb kienet li jimblokka l-kont tiegħu. Issa la scammers u lanqas hu stess ma jistgħu jużawha.
Is-servizz ta 'appoġġ VKontakte huwa storja differenti. Utenti awtorizzati biss jistgħu jikkuntattjaw lis-servizz ta 'appoġġ VKontakte. Dan ifisser li jekk titlef l-aċċess għall-paġna tiegħek, trid toħloq waħda ġdida jew titlob lill-ħbieb tiegħek biex jagħtu aċċess għall-paġni tagħhom sabiex tikteb bħala appoġġ. Alexey jikkorrispondi ma 'speċjalisti tas-servizz ta' appoġġ mill-paġna ta 'martu, u dan ma ddejjaqhomx, għalkemm il-Ftehim tal-Utent ma jippermettix it-trasferiment tal-login u l-password lil xi ħadd ieħor.
Il-hacking tal-paġna u aktar telf ta 'aċċess għall-kont u l-paġna pubblika ovvjament għamlu ħsara kemm lir-reputazzjoni tan-negozju ta' Alexey kif ukoll lill-interessi tal-proprjetà tiegħu. Biex ma nsemmux li dan ippermetta li ammont sinifikanti ta’ informazzjoni personali u kummerċjali titnixxi lejn destinazzjonijiet mhux magħrufa. Il-frodisti mill-kont tan-negozjant talbu lil sħabu biex jittrasferixxuhom somom kbar ta’ flus. Persuna waħda ttrasferithom 34 elf rublu. L-attakkanti kellhom aċċess għal informazzjoni personali mill-kont ta’ Alexey għal XNUMX siegħa.
Kawża kontra VKontakte
Alexey Mironov fetaħ kawża kontra n-netwerk soċjali VKontakte fil-Qorti Distrettwali Smolninsky ta 'San Pietruburgu u issa qed jistenna l-assenjazzjoni tal-każ. Huwa jitlob lill-qorti tobbliga lin-netwerk soċjali biex iwettaq il-ftehim tiegħu stess, konkluż fil-forma ta 'Ftehim tal-Utent, u jirritornalu aċċess għall-paġna tiegħu. Sal-lum, l-amministrazzjoni ta 'VKontakte tkompli ċċaħħad lil Alexey mill-aċċess għall-kont tiegħu b'mod mhux raġonevoli, filwaqt li kkonforma b'mod kuxjenzjuż mat-termini tal-Ftehim tal-Utent u immedjatament informa lis-servizz ta' appoġġ tekniku tan-netwerk soċjali dwar il-hack. VKontakte irrifjuta li jerġa 'jġib l-aċċess tiegħu għall-paġna, u kkwota klawżola fil-Ftehim tal-Utent li tipprojbixxi lill-utenti milli jittrasferixxu l-login u l-password tal-paġna tagħhom lil partijiet terzi. L-aġent ta 'appoġġ VKontakte li miegħu tkellem Alexey iddikjara li tista' twaqqaf in-numru tat-telefon biss billi żżur l-uffiċċju tal-operatur u tippreżenta l-passaport tiegħek. Fil-fatt, dan mhux il-każ, u dan ġie kkonfermat minn Roskomnadzor bi tweġiba għall-appell ta 'Alexey.
In-netwerk soċjali, bi ksur tal-Ftehim tal-Utent, illimita b’mod mhux raġonevoli l-aċċess ta’ Alexey għall-użu tal-paġna tiegħu. Dan huwa rifjut unilaterali li jiġu sodisfatti l-obbligi, li jikser il-paragrafu 1 tal-Art. 30 Kodiċi Ċivili tal-Federazzjoni Russa. Billi ċaħħadlu mill-aċċess għall-kont tiegħu, VK ċaħħad ukoll lil Alexey mid-drittijiet li jamministra l-paġna pubblika tiegħu, li hija assi intanġibbli importanti għalih. (Ktibna dwar is-suq pubbliku bħala forma ġdida ta 'proprjetà diġitali u l-partikolaritajiet tal-konklużjoni ta' tranżazzjonijiet magħhom )
Toqob tas-sigurtà fis-sistema ta 'identifikazzjoni MTS
Il-korrispondenza mmexxija mill-scammers f'isem l-imprenditur turi li kienu jafu dwar in-negozju u l-vjaġġ tan-negozju tiegħu. Huma sejħu liċ-ċentru ta 'kuntatt MTS, setgħu jidentifikaw lilhom infushom f'isem Alexey u stabbilixxew it-trasferiment tas-sejħiet. L-attakkanti setgħu jiksbu d-dejta tal-passaport tiegħu permezz tal-inġinerija soċjali. Alexey Mironov huwa l-fundatur tal-konċessjoni, għalhekk ħafna nies involuti fil-ftuħ ta 'stabbilimenti ta' franchise jista 'jkollhom l-informazzjoni tal-passaport tiegħu. MTS wettqet investigazzjoni interna, iżda ma setgħetx tiddetermina min eżattament installa l-ispedizzjoni u kif l-attakkant interċetta l-SMS. Il-kumpanija ma ammettietx il-ħtija, iżda fl-istess ħin offriet lil Alexey kumpens stramb ħafna - 750 rublu.
Aħna qiesna li l-identifikazzjoni ta' abbonat mill-bogħod bl-użu ta' dejta personali korretta biss hija prattika dubjuża ħafna u ktibna ilment lil Roskomnadzor biex tivverifika l-konformità ta' dan it-tip ta' proċess ta' kumpanija mar-rekwiżiti tal-leġiżlazzjoni dwar id-dejta personali. Bħala riżultat, Roskomnadzor qabad ma 'MTS, u rrimarka li l-ġestjoni tas-servizzi ta' komunikazzjoni wara identifikazzjoni remota bit-telefon filwaqt li tipprovdi dejta personali korretta hija pjuttost normali, u li jiġu stabbiliti metodi addizzjonali ta 'protezzjoni kontra dan it-tip ta' azzjonijiet mhux awtorizzati huwa uġigħ ta 'ras għall-abbonat innifsu, mhux il-kumpanija . (aqra t-tweġiba sħiħa - )
Il-hacking tal-kont ta' Alexey Mironov mhuwiex l-ewwel każ ta' aċċess mhux awtorizzat għad-dejta tal-abbonati tal-MTS. Fl-2018, id-database ta '500 elf abbonat f’Novosibirsk żewġ attakkanti, li wieħed minnhom kien impjegat tal-kumpanija. Huma ppruvaw ibigħu d-database bi prezz ta 'rublu 1 għad-dejta ta' abbonat wieħed.
Fl-2016 kien hemm Kontijiet telegramma tal-attivisti tal-oppożizzjoni Georgy Alburov u Oleg Kozlovsky. Il-kontijiet tagħhom kienu konnessi man-numri MTS, u ftit qabel il-hack, is-servizz tal-SMS tagħhom kien diżattivat u t-twassil kien attivat. Iċ-ċirkostanzi tat-tkeċċija lanqas ma ġew stabbiliti. Fl-2019, Oleg Kozlovsky fetaħ kawża kontra MTS, iżda l-qorti ċaħditha.
Il-protezzjoni tal-kontijiet ta 'diversi servizzi tal-web u applikazzjonijiet mill-hacking hija r-responsabbiltà tal-utent innifsu. Din il-pożizzjoni hija kondiviża kemm mill-operaturi tat-telekomunikazzjoni kif ukoll mir-regolatur innifsu, skont liema huma jirrifjutaw li jaqsmu dawn ir-riskji mal-abbonati tagħhom stess.
RKN jiddeskriviha b'dan il-mod fit-tweġiba tagħha:
“... Skont il-klawżola 2.11 tal-Kundizzjonijiet MTS, għal skopijiet ta’ identifikazzjoni, l-abbonati mill-operatur tat-telekomunikazzjoni jingħataw l-opportunità li jużaw Kelma tal-Kodiċi - sekwenza ta’ simboli (ittri, numri) speċifikati mill-Abbonat fil-forma stabbilita minn l-Operatur, li jservi biex jidentifika l-Abbonat meta jesegwixxi l-Ftehim. L-abbonat għandu l-opportunità li jistabbilixxi kelma ta 'kodiċi kemm meta jikkonkludi ftehim (f'dan il-każ tiddaħħal fil-formola tal-ftehim flimkien mad-dettalji obbligatorji) kif ukoll fi kwalunkwe ħin matul l-eżekuzzjoni tal-ftehim. Minkejja dan, l-abbonat Mironov A.K. il-kelma tal-kodiċi ma ġietx stabbilita qabel il-konnessjoni kkontestata tas-servizz. F’dawn iċ-ċirkustanzi, l-abbonat biss, billi jistabbilixxi kelma ta’ kodiċi waqt l-identifikazzjoni mal-operatur tat-telekomunikazzjoni, jista’ jinnewtralizza r-riskju ta’ konsegwenzi negattivi minn sitwazzjonijiet bħal dawn, iżda ma ħax vantaġġ minn din l-opportunità.”
Irkupru tal-kont. Missjoni Impossibli
Ilment dwar in-nuqqas ta' azzjoni ta' Roskomnadzor diġà ġie ppreżentat lill-uffiċċju tal-prosekutur. Intant, il-pulizija tkompli tibqa’ siekta dwar ir-rapport tar-reat. Ħadd ma jirrapporta xejn ġewwa l-kumpanija dwar ir-riżultati tal-investigazzjoni lanqas. MTS ma tammetti l-ebda ħtija. Ħadd ma jimpurtah. Fl-istess ħin, VKontakte tkompli tirrifjuta lis-sid tal-kont biex jerġa 'jġib l-aċċess għalih sakemm iġib mill-pulizija Riżoluzzjoni biex jinbeda każ kriminali li jistabbilixxi l-fatti speċifikati u ittra minn MTS, li tikkonferma li s-servizz ta' direzzjoni mill-ġdid huwa kontestabbli. Fl-ittra bi spjegazzjonijiet pjuttost estensivi, hemm ukoll rekwiżit li Mironov għandu jipprovdi wkoll ċertifikat minn MTS li huwa l-uniku (u x'imkien l-operaturi jirreġistraw sjieda konġunta ta 'numri tat-telefon?) tan-numru tat-telefon li kien marbut ma' il-paġna. Ir-rispons wasal fl-aħħar tal-ġimgħa li għaddiet, u minħabba l-imblokk fis-sitwazzjoni u l-impossibbiltà li jintlaħaq ftehim ma 'VKontakte għal sitt xhur issa, morna l-qorti.
Kif tipproteġi lilek innifsek mill-hacking
L-attakkanti jistgħu wkoll jiksbu aċċess għall-ġestjoni ta 'numru tat-telefon permezz ta' vulnerabbiltajiet oħra - il-protokoll SS7 jew jiksbu SIM card duplikata bl-għajnuna ta 'impjegati ta' operaturi bla skrupli.
SS7 huwa protokoll tekniku użat mill-operaturi tat-telekomunikazzjoni. Fiha antik u li jidher li ma jitneħħax , li jippermettilek li tinterċetta data trażmessa mill-abbonati waqt telefonata jew permezz ta' SMS. L-operaturi biss għandhom aċċess għal SS7, iżda l-attakkanti jistgħu jiksbuh billi jixtru aċċess fuq id-darknet minn operaturi f'pajjiżi sottożviluppati jew permezz ta 'impjegati bla skrupli ta' operaturi mobbli. Attakk iseħħ meta attakkant jibdel l-indirizz tas-sistema tal-kontijiet tal-abbonat għall-indirizz tiegħu stess. Ħafna drabi, l-attakkanti jinfurmaw lis-sistema li l-abbonat jinsab f'roaming internazzjonali, għalhekk l-eħfef mod biex tipproteġi lilek innifsek huwa li tiddiżattiva r-roaming internazzjonali jekk ma tużahx.
Alexey Mironov kien għad ma kellux sistema ta 'awtentikazzjoni b'żewġ fatturi kkonfigurata għal Vkontakte. Din il-funzjoni fil-VK f'Ġunju 2014. Forsi setgħet tipproteġi l-kont tiegħu milli jiġi hacked. Ta 'min jiftakar li sempliċiment rabta ta' kont ma 'numru tat-telefon mhijiex awtentikazzjoni b'żewġ fatturi. — din hija l-protezzjoni tal-login f'kont meta, minbarra l-password, titwettaq azzjoni oħra. L-iktar għażla komuni hija kodiċi SMS. Dan il-metodu mhuwiex l-aktar affidabbli, peress li l-attakkanti jistgħu jinterċettaw il-messaġġ SMS. Għażliet aktar siguri huma fajl ewlieni, kodiċi temporanji, applikazzjoni mobbli u token tal-ħardwer.
Sfortunatament, aħna mġiegħla ngħixu f'era fejn l-iżgurar tas-sigurtà tad-dejta ssir il-problema tagħna stess. Huma jittamaw li l-operaturi jerfgħu r-responsabbiltà b'mod indipendenti fil-każ ta 'hack, iżda milli jidher dan mhux il-każ. Kif ukoll tiddependi fuq Roskomnadzor, li ilu divorzjat mir-realtà fil-prattiki tal-protezzjoni tad-data tiegħu. Huwa oerhört diffiċli li tkisser l-armatura tal-"materjal ta 'rifjut" tal-uffiċjal tal-pulizija lokali li se tirċievi l-applikazzjoni tiegħek f'każ simili, speċjalment għal persuna ordinarja li ma tafx kif taħdem din is-sistema. X'jibqa'? Tinsiex dwar l-iġjene diġitali, afda l-matematika u tiddefendi d-drittijiet tiegħek fil-qorti.
Sors: www.habr.com