Fraudeurs hebben de VKontakte-pagina van ondernemer Alexey Mironov gestolen vanwege een kwetsbaarheid in het klantidentificatiesysteem van MTS. Het sociale netwerk heeft het nooit teruggegeven aan de eigenaar en eist het onmogelijke van hem. Nu klaagt hij VKontakte hiervoor aan. Hij wordt vertegenwoordigd door het Centrum voor Digitale Rechten.
Alexey Mironov is de oprichter van de Jeffrey's Coffee-keten. Dit is een franchise van coffeeshops in Moskou en de regio's. Alexey communiceerde vaak met collega's en partners op VKontakte en onderhield daar een zeer populaire openbare pagina voor zijn netwerk, met meer dan 50 abonnees.
In november 2018, vroeg in de ochtend, toen Alexey op zakenreis was in China, werd zijn VKontakte-pagina gehackt. Hij ontving een sms van VKontakte, WhatsApp en een bericht van de MTS-operator, waarin stond dat doorsturen naar een ander nummer was ingesteld. Alexey heeft de doorschakeling niet ingesteld, dus hij maakte zich onmiddellijk zorgen en belde MTS. Ze stelden niet eens onmiddellijk vast dat er inderdaad een omleiding was. De telefoniste kon het slechts twee uur na het telefoontje van Alexey uitschakelen. MTS heeft nooit gegevens gevonden over hoe en wanneer het doorsturen is geactiveerd.
Alexey controleerde de toegang tot sociale netwerken en instant messengers en zag dat hij niet langer daarop kon inloggen met zijn telefoonnummer. De hackers koppelden een ander nummer aan zijn accounts. Met WhatsApp was het probleem snel opgelost. Onmiddellijk na het annuleren van het doorsturen heeft de messenger de toegang tot het account hersteld aan de rechtmatige eigenaar.
Alexey schreef naar VKontakte-ondersteuning met het verzoek de pagina terug te sturen en stuurde een foto van zijn paspoort. 'S Avonds ontving hij een sms dat de aanvraag was afgewezen, aangezien de huidige eigenaar het toegangsrecht bevestigde.
Een technische ondersteuningsspecialist verklaarde dat Alexey vrijwillig de toegang tot zijn pagina aan derden kon overdragen, zodat zij zijn toegang niet zullen herstellen. Alexey legde de hacksituatie uit, maar hem werd gevraagd een bevestigingsbrief van MTS te sturen, waarin de operator zou bevestigen dat er een hack had plaatsgevonden. Alexey gaf een brief van MTS. Hierna eiste de VKontakte-administratie dat deze brief door de politie zou worden gecertificeerd. Aan deze eis is zeer moeilijk te voldoen, omdat het niet de taak van de politie is om brieven en de geloofsbrieven van de ondertekenaar waar te nemen. Alexey kon de gehackte pagina alleen blokkeren door VKontakte-medewerkers persoonlijk te vragen of hij ervan op de hoogte was. De pagina is nog niet teruggekeerd. Het enige dat Alexey bereikte, was zijn account blokkeren. Nu kunnen noch oplichters, noch hijzelf er gebruik van maken.
VKontakte-ondersteuningsservice is een ander verhaal. Alleen geautoriseerde gebruikers kunnen contact opnemen met de VKontakte-ondersteuningsdienst. Dit betekent dat als u de toegang tot uw pagina verliest, u een nieuwe moet maken of uw vrienden moet vragen toegang te geven tot hun pagina's om ter ondersteuning te kunnen schrijven. Alexey correspondeerde met de specialisten van de ondersteuningsdienst vanaf de pagina van zijn vrouw, en dit stoorde hen niet, hoewel de gebruikersovereenkomst niet toestaat dat de login en het wachtwoord aan iemand anders worden overgedragen.
Het hacken van de pagina en het verdere verlies van toegang tot het account en de openbare pagina hebben duidelijk zowel de zakelijke reputatie van Alexey als zijn eigendomsbelangen geschaad. Om nog maar te zwijgen van het feit dat hierdoor een aanzienlijke hoeveelheid persoonlijke en commerciële informatie naar onbekende bestemmingen kon lekken. Fraudeurs van de rekening van de zakenman vroegen zijn vrienden om grote sommen geld naar hen over te maken. Eén persoon heeft ze 34 duizend roebel overgemaakt. De aanvallers hadden XNUMX uur lang toegang tot persoonlijke informatie uit het account van Alexey.
Rechtszaak tegen VKontakte
Alexey Mironov heeft een rechtszaak aangespannen tegen het sociale netwerk VKontakte bij de Smolninsky District Court van Sint-Petersburg en wacht nu op de toewijzing van de zaak. Hij vraagt de rechtbank om het sociale netwerk te verplichten zijn eigen overeenkomst, afgesloten in de vorm van een Gebruikersovereenkomst, na te komen en hem toegang tot zijn pagina te geven. Tot op de dag van vandaag blijft de VKontakte-administratie Alexey op onredelijke wijze de toegang tot zijn account ontnemen, terwijl hij gewetensvol de voorwaarden van de gebruikersovereenkomst naleefde en de technische ondersteuningsdienst van het sociale netwerk onmiddellijk op de hoogte bracht van de hack. VKontakte weigerde zijn toegang tot de pagina te herstellen, daarbij verwijzend naar een clausule in de gebruikersovereenkomst die gebruikers verbiedt hun login en wachtwoord voor de pagina aan derden over te dragen. De VKontakte-ondersteuningsagent met wie Alexey sprak, verklaarde dat u het doorsturen van telefoonnummers alleen kunt instellen door naar het kantoor van de operator te gaan en uw paspoort te tonen. In feite is dit niet het geval, en dit werd bevestigd door Roskomnadzor in reactie op de oproep van Alexey.
Het sociale netwerk heeft, in strijd met de Gebruikersovereenkomst, op onredelijke wijze de toegang van Alexey tot het gebruik van zijn pagina beperkt. Dit is een eenzijdige weigering om aan verplichtingen te voldoen, in strijd met paragraaf 1 van art. 30 Burgerlijk Wetboek van de Russische Federatie. Door hem de toegang tot zijn account te ontnemen, heeft VK Alexey ook de rechten ontnomen om zijn openbare pagina te beheren, wat voor hem een belangrijk immaterieel bezit is. (We schreven over de publieke markt als een nieuwe vorm van digitaal eigendom en de bijzonderheden van het sluiten van transacties ermee )
Beveiligingslekken in het MTS-identificatiesysteem
Uit de correspondentie die de oplichters namens de ondernemer voeren, blijkt dat zij op de hoogte waren van zijn zakenreis en zakenreis. Zij belden het MTS-contactcentrum, konden zich namens Alexey legitimeren en stelden de doorschakeling in. Aanvallers konden zijn paspoortgegevens verkrijgen via social engineering. Alexey Mironov is de oprichter van de franchise, dus veel mensen die betrokken zijn bij het openen van franchisevestigingen kunnen over zijn paspoortgegevens beschikken. MTS heeft intern onderzoek gedaan, maar kon niet vaststellen wie de doorsturing precies heeft geïnstalleerd en hoe de aanvaller de sms heeft onderschept. Het bedrijf gaf geen schuld toe, maar bood Alexey tegelijkertijd een heel vreemde compensatie aan: 750 roebel.
We waren van mening dat het op afstand identificeren van een abonnee met behulp van de juiste persoonlijke gegevens een zeer dubieuze praktijk is en hebben een klacht ingediend bij Roskomnadzor om de overeenstemming van dit soort bedrijfsprocessen met de vereisten van de wetgeving inzake persoonlijke gegevens te verifiëren. Als gevolg hiervan koos Roskomnadzor de kant van MTS, erop wijzend dat het beheren van communicatiediensten na identificatie op afstand via de telefoon, terwijl het verstrekken van correcte persoonlijke gegevens heel normaal is, en dat het opzetten van aanvullende beschermingsmethoden tegen dit soort ongeoorloofde acties een hoofdpijn is voor de abonnee zelf, en niet het bedrijf. (lees volledig antwoord - )
Het hacken van het account van Alexey Mironov is niet het eerste geval van ongeautoriseerde toegang tot MTS-abonneegegevens. In 2018 telde de database 500 duizend abonnees in Novosibirsk twee aanvallers, van wie er één een medewerker van het bedrijf was. Ze probeerden de database te verkopen voor een prijs van 1 roebel voor de gegevens van één abonnee.
In 2016 waren dat er wel Telegramverslagen van oppositieactivisten Georgy Alburov en Oleg Kozlovsky. Hun accounts waren gekoppeld aan MTS-nummers en kort voor de hack werd hun sms-service uitgeschakeld en werd het doorsturen ingeschakeld. Ook de omstandigheden van de inbraak zijn niet vastgesteld. In 2019 spande Oleg Kozlovsky een rechtszaak aan tegen MTS, maar de rechtbank wees deze af.
Het beschermen van accounts van verschillende webdiensten en applicaties tegen hacking is de verantwoordelijkheid van de gebruiker zelf. Dit standpunt wordt gedeeld door zowel telecomoperatoren als de toezichthouder zelf, die stelt dat zij weigeren deze risico's met hun eigen abonnees te delen.
RKN omschrijft het in haar reactie als volgt:
“... Volgens clausule 2.11 van de MTS-voorwaarden krijgen abonnees van de telecomoperator voor identificatiedoeleinden de mogelijkheid om een Codewoord te gebruiken - een reeks symbolen (letters, cijfers) gespecificeerd door de Abonnee in de vorm vastgesteld door de Operator, die dient ter identificatie van de Abonnee bij de uitvoering van de Overeenkomst. Zowel bij het sluiten van een overeenkomst (in dit geval wordt dit samen met de verplichte gegevens ingevuld in het overeenkomstformulier) als op ieder moment tijdens de uitvoering van de overeenkomst heeft de abonnee de mogelijkheid om een codewoord in te stellen. Desondanks heeft abonnee Mironov A.K. het codewoord is niet ingesteld vóór de betwiste aansluiting van de dienst. Onder dergelijke omstandigheden kon alleen de abonnee, door tijdens de identificatie met de telecomoperator een codewoord in te stellen, het risico op nadelige gevolgen van dergelijke situaties neutraliseren, maar maakte hij geen gebruik van deze mogelijkheid.”
Accountherstel. Missie onmogelijk
Er is al een klacht ingediend bij het parket over de passiviteit van Roskomnadzor. Ondertussen blijft de politie zwijgen over het misdaadrapport. Ook binnen het bedrijf meldt niemand iets over de uitkomsten van het onderzoek. MTS erkent geen enkele schuld. Het kan niemand iets schelen. Tegelijkertijd blijft VKontakte de accounteigenaar weigeren de toegang ertoe te herstellen totdat hij van de politie een resolutie indient om een strafzaak te starten waarin de gespecificeerde feiten worden vastgesteld, en een brief van MTS, waarin wordt bevestigd dat de omleidingsservice betwistbaar is. In de brief met vrij uitgebreide uitleg staat ook de eis dat Mironov ook een certificaat van MTS moet overleggen dat hij de enige (en wat, ergens registreren operators mede-eigendom van telefoonnummers?) gebruiker van het telefoonnummer dat daaraan gekoppeld was de pagina. Het antwoord kwam eind vorige week en gezien de impasse in de situatie en de onmogelijkheid om nu al zes maanden tot een akkoord te komen met VKontakte, zijn we naar de rechter gestapt.
Hoe u uzelf tegen hacken kunt beschermen
Aanvallers kunnen ook toegang krijgen tot het beheer van een telefoonnummer via andere kwetsbaarheden: het SS7-protocol of het verkrijgen van een dubbele simkaart met de hulp van gewetenloze medewerkers van de operator.
SS7 is een technisch protocol dat wordt gebruikt door telecomoperatoren. Er zit een oud en schijnbaar onverwijderbaar exemplaar in , waarmee u gegevens kunt onderscheppen die door abonnees worden verzonden tijdens een gesprek of via sms. Alleen operators hebben toegang tot SS7, maar aanvallers kunnen deze verkrijgen door toegang op het darknet te kopen bij operators in onderontwikkelde landen of via gewetenloze medewerkers van mobiele operators. Een aanval vindt plaats wanneer een aanvaller het factuursysteemadres van de abonnee wijzigt in zijn eigen adres. Meestal laten aanvallers het systeem weten dat de abonnee zich in internationale roaming bevindt. De eenvoudigste manier om uzelf te beschermen is dus het uitschakelen van internationale roaming als u deze niet gebruikt.
Alexey Mironov had nog geen tweefactorauthenticatiesysteem geconfigureerd voor Vkontakte. Deze functie in VK in juni 2014. Misschien kon ze zijn account beschermen tegen hacking. Houd er rekening mee dat het simpelweg koppelen van een account aan een telefoonnummer geen tweefactorauthenticatie is. — dit is de bescherming van het inloggen op een account wanneer naast het wachtwoord nog een andere actie wordt uitgevoerd. De meest voorkomende optie is een sms-code. Deze methode is niet de meest betrouwbare, omdat aanvallers het sms-bericht kunnen onderscheppen. Veiliger opties zijn een sleutelbestand, tijdelijke codes, een mobiele applicatie en een hardwaretoken.
Helaas worden we gedwongen in een tijdperk te leven waarin het garanderen van gegevensbeveiliging ons eigen probleem wordt. Ze hopen dat operators bij een hack zelfstandig hun verantwoordelijkheid zullen dragen, maar blijkbaar is dat niet het geval. Evenals het vertrouwen op Roskomnadzor, dat al lang gescheiden is van de realiteit wat betreft gegevensbeschermingspraktijken. Het is ongelooflijk moeilijk om het pantser van het ‘weigeringsmateriaal’ te doorbreken van de plaatselijke politieagent die uw aanvraag in een soortgelijk geval zal ontvangen, vooral voor een gewoon mens die niet weet hoe dit systeem werkt. Wat overblijft? Vergeet digitale hygiëne niet, vertrouw op wiskunde en verdedig uw rechten voor de rechtbank.
Bron: www.habr.com