Oszuści ukradli stronę VKontakte przedsiębiorcy Aleksieja Mironowa ze względu na lukę w systemie identyfikacji klientów MTS. Sieć społecznościowa nigdy nie zwróciła go właścicielowi i żąda od niego niemożliwego. Teraz pozywa za to VKontakte. Reprezentuje go Centrum Praw Cyfrowych.
Alexey Mironov jest założycielem sieci kawiarni Jeffrey's Coffee. To franczyza kawiarni w Moskwie i regionach. Aleksiej często komunikował się ze współpracownikami i partnerami na VKontakte i prowadził tam bardzo popularną stronę publiczną swojej sieci, liczącą ponad 50 000 subskrybentów.
W listopadzie 2018 roku wczesnym rankiem, kiedy Aleksiej był w podróży służbowej do Chin, włamano się na jego stronę VKontakte. Otrzymał SMS-a od VKontakte, WhatsApp oraz wiadomość od operatora MTS, w której podano, że skonfigurowano przekierowanie na inny numer. Aleksiej nie skonfigurował spedycji, więc od razu się zaniepokoił i zadzwonił do MTS. Nawet nie od razu ustalili, że rzeczywiście nastąpiło przekierowanie. Operatorowi udało się go wyłączyć dopiero dwie godziny po telefonie Aleksieja. MTS nigdy nie znalazło danych na temat tego, jak i kiedy aktywowano przekazywanie.
Aleksiej sprawdził dostęp do sieci społecznościowych i komunikatorów internetowych i zobaczył, że nie może się już do nich zalogować przy użyciu swojego numeru telefonu. Hakerzy powiązali z jego kontami inny numer. Dzięki WhatsApp problem został szybko rozwiązany. Natychmiast po anulowaniu przesyłania, komunikator przywrócił dostęp do konta prawowitemu właścicielowi.
Aleksiej napisał do wsparcia VKontakte z prośbą o zwrot strony i wysłał zdjęcie swojego paszportu. Wieczorem otrzymał SMS, że wniosek został odrzucony, gdyż obecny właściciel potwierdził prawo dostępu.
Specjalista ds. wsparcia technicznego stwierdził, że Aleksiej może dobrowolnie przekazać dostęp do swojej strony osobom trzecim, więc nie przywrócą mu one dostępu. Aleksiej wyjaśnił sytuację włamania, ale został poproszony o przesłanie listu potwierdzającego z MTS, w którym operator potwierdziłby, że doszło do włamania. Aleksiej dostarczył list od MTS. Następnie administracja VKontakte zażądała poświadczenia tego listu przez policję. Wymóg ten jest bardzo trudny do spełnienia, ponieważ zadaniem policji nie jest poświadczanie pism i pełnomocnictw sygnatariusza. Aleksiejowi udało się zablokować zhakowaną stronę jedynie osobiście prosząc o to swoich pracowników VKontakte. Strona nie została jeszcze zwrócona. Jedyne, co osiągnął Aleksiej, to zablokowanie jego konta. Teraz ani oszuści, ani on sam nie mogą z niego korzystać.
Usługa wsparcia VKontakte to inna historia. Tylko autoryzowani użytkownicy mogą kontaktować się z obsługą techniczną VKontakte. Oznacza to, że jeśli utracisz dostęp do swojej strony, musisz utworzyć nową lub poprosić znajomych o udostępnienie ich stron, aby mogli napisać w ramach wsparcia. Alexey korespondował ze specjalistami działu wsparcia ze strony swojej żony i nie przeszkadzało im to, chociaż Umowa użytkownika nie pozwala na przeniesienie loginu i hasła na inną osobę.
Włamanie na stronę i dalsza utrata dostępu do konta i strony publicznej w oczywisty sposób zaszkodziły zarówno reputacji biznesowej Aleksieja, jak i jego interesom majątkowym. Nie wspominając już o tym, że umożliwiło to wyciek znacznych ilości informacji osobistych i handlowych do nieznanych miejsc. Oszuści z konta biznesmena poprosili jego znajomych o przelanie im dużych sum pieniędzy. Jedna osoba przekazała im 34 tysiące rubli. Napastnicy mieli dostęp do danych osobowych z konta Aleksieja przez XNUMX godziny.
Pozew przeciwko VKontakte
Aleksiej Mironow złożył pozew przeciwko sieci społecznościowej VKontakte w Sądzie Rejonowym Smolninsky w Petersburgu i obecnie oczekuje na przydzielenie sprawy. Zwraca się do sądu, aby zobowiązał portal społecznościowy do wywiązania się z własnej umowy zawartej w formie Umowy z użytkownikiem i przywrócił mu dostęp do jego strony. Do dziś administracja VKontakte w dalszym ciągu bezzasadnie pozbawia Aleksieja dostępu do jego konta, podczas gdy on sumiennie przestrzegał warunków Umowy użytkownika i natychmiast poinformował dział pomocy technicznej sieci społecznościowej o włamaniu. VKontakte odmówił przywrócenia mu dostępu do strony, powołując się na klauzulę Umowy użytkownika, która zabrania użytkownikom przekazywania loginu i hasła do strony osobom trzecim. Agent wsparcia VKontakte, z którym rozmawiał Aleksiej, stwierdził, że przekierowanie numeru telefonu można skonfigurować tylko odwiedzając biuro operatora i okazując paszport. W rzeczywistości tak nie jest, co Roskomnadzor potwierdził w odpowiedzi na apel Aleksieja.
Sieć społecznościowa, naruszając Umowę użytkownika, w nieuzasadniony sposób ograniczyła Aleksiejowi dostęp do korzystania z jego strony. Jest to jednostronna odmowa wykonania zobowiązań, naruszająca ust. 1 art. 30 Kodeks cywilny Federacji Rosyjskiej. Pozbawiając go dostępu do konta, VK pozbawił Aleksieja także prawa do administrowania jego publiczną stroną, która stanowi dla niego ważny składnik wartości niematerialnych i prawnych. (Pisaliśmy o rynku publicznym jako nowej formie własności cyfrowej i specyfice zawierania z nim transakcji )
Luki w zabezpieczeniach systemu identyfikacji MTS
Z korespondencji prowadzonej przez oszustów w imieniu przedsiębiorcy wynika, że wiedzieli o jego służbie i podróży służbowej. Zadzwonili do centrum kontaktowego MTS, mogli zidentyfikować się w imieniu Aleksieja i skonfigurować przekazywanie połączeń. Napastnicy mogli uzyskać dane jego paszportu za pomocą inżynierii społecznej. Założycielem franczyzy jest Aleksiej Mironow, więc wiele osób zaangażowanych w otwieranie placówek franczyzowych mogło mieć dane z jego paszportu. Firma MTS przeprowadziła wewnętrzne dochodzenie, ale nie była w stanie ustalić, kto dokładnie zainstalował przekierowanie i w jaki sposób osoba atakująca przechwyciła SMS-y. Firma nie przyznała się do winy, ale jednocześnie zaoferowała Aleksiejowi bardzo dziwne odszkodowanie - 750 rubli.
Uznaliśmy, że zdalna identyfikacja abonenta wyłącznie przy użyciu prawidłowych danych osobowych jest bardzo wątpliwą praktyką i napisaliśmy skargę do Roskomnadzoru w celu sprawdzenia zgodności tego rodzaju procesu firmowego z wymogami przepisów o danych osobowych. W rezultacie Roskomnadzor stanął po stronie MTS, wskazując, że zarządzanie usługami komunikacyjnymi po zdalnej identyfikacji telefonicznej przy jednoczesnym podaniu prawidłowych danych osobowych jest czymś zupełnie normalnym, a ustanawianie dodatkowych metod ochrony przed tego rodzaju nieuprawnionymi działaniami jest bólem głowy dla samego abonenta, a nie firma. (przeczytaj pełną odpowiedź - )
Włamanie na konto Aleksieja Mironowa nie jest pierwszym przypadkiem nieuprawnionego dostępu do danych abonentów MTS. W 2018 roku baza danych liczyła 500 tys. abonentów w Nowosybirsku dwóch napastników, z których jeden był pracownikiem firmy. Próbowali sprzedać bazę danych po cenie 1 rubla za dane jednego abonenta.
W 2016 roku było Konta telegramowe działaczy opozycji Gieorgija Alburowa i Olega Kozłowskiego. Ich konta zostały powiązane z numerami MTS, a na krótko przed włamaniem wyłączono im usługę SMS i włączono przekazywanie wiadomości. Nie ustalono także okoliczności włamania. W 2019 roku Oleg Kozłowski złożył pozew przeciwko MTS, ale sąd go odrzucił.
Ochrona kont różnych usług internetowych i aplikacji przed włamaniem leży w gestii samego użytkownika. Stanowisko to podzielają zarówno operatorzy telekomunikacyjni, jak i sam regulator, zgodnie z którym odmawiają dzielenia się tym ryzykiem z własnymi abonentami.
RKN opisuje to w ten sposób w swojej odpowiedzi:
„... Zgodnie z klauzulą 2.11 Warunków MTS, w celach identyfikacyjnych, abonenci operatora telekomunikacyjnego mają możliwość wykorzystania Słowa Kodowego - ciągu symboli (liter, cyfr) określonych przez Abonenta w formie ustalonej przez Operatora, który służy identyfikacji Abonenta przy zawieraniu Umowy. Abonent ma możliwość ustawienia słowa kodowego zarówno w trakcie zawierania umowy (w tym przypadku jest ono wpisywane w formularzu umowy wraz z obowiązkowymi danymi), jak i w każdym momencie realizacji umowy. Mimo to abonent Mironow A.K. słowo kodowe nie zostało ustawione przed spornym przyłączeniem usługi. W takiej sytuacji jedynie abonent, ustalając hasło w trakcie identyfikacji z operatorem telekomunikacyjnym, mógł zneutralizować ryzyko negatywnych konsekwencji takich sytuacji, jednak z tej możliwości nie skorzystał.”
Odzyskiwanie konta. Niewykonalna misja
Do prokuratury wpłynęła już skarga na bezczynność Roskomnadzoru. Tymczasem policja w dalszym ciągu milczy na temat doniesień o przestępstwie. Wewnątrz firmy nikt nie informuje również o wynikach śledztwa. MTS nie przyznaje się do winy. Nikogo to nie obchodzi. Jednocześnie VKontakte w dalszym ciągu odmawia właścicielowi konta przywrócenia do niego dostępu, dopóki nie przyniesie od policji postanowienia o wszczęciu postępowania karnego ustalającego określone fakty oraz pisma od MTS, które potwierdzi, że usługa przekierowania jest kwestionowana. W piśmie zawierającym dość obszerne wyjaśnienia znalazł się także wymóg, aby Mironow przedstawił także zaświadczenie z MTS, że jest jedynym (i co, gdzieś operatorzy rejestrują współwłasność numerów telefonów?) użytkownikiem numeru telefonu, z którym był powiązany. Strona. Odpowiedź nadeszła pod koniec ubiegłego tygodnia, a biorąc pod uwagę impas w sytuacji i od sześciu miesięcy niemożność osiągnięcia porozumienia z VKontakte, skierowaliśmy sprawę do sądu.
Jak uchronić się przed włamaniem
Atakujący mogą uzyskać dostęp do zarządzania numerem telefonu także poprzez inne luki – protokół SS7 czy zdobycie duplikatu karty SIM przy pomocy pozbawionych skrupułów pracowników operatora.
SS7 to protokół techniczny używany przez operatorów telekomunikacyjnych. Zawiera stary i najwyraźniej nieusuwalny , która umożliwia przechwytywanie danych przesyłanych przez abonentów podczas rozmowy lub poprzez SMS. Dostęp do SS7 mają tylko operatorzy, ale napastnicy mogą go zdobyć wykupując dostęp w darknecie od operatorów z krajów słabo rozwiniętych lub za pośrednictwem pozbawionych skrupułów pracowników operatorów komórkowych. Atak ma miejsce, gdy atakujący zmienia adres systemu rozliczeniowego abonenta na swój własny adres. Najczęściej napastnicy informują system, że abonent znajduje się w roamingu międzynarodowym, dlatego najłatwiejszym sposobem zabezpieczenia się jest wyłączenie roamingu międzynarodowego, jeśli z niego nie korzystasz.
Aleksiej Mironow nie miał jeszcze skonfigurowanego systemu uwierzytelniania dwuskładnikowego dla Vkontakte. Ta funkcja w VK w czerwcu 2014 r. Być może uda jej się ochronić jego konto przed włamaniem. Warto pamiętać, że samo powiązanie konta z numerem telefonu nie jest uwierzytelnianiem dwuskładnikowym. — jest to zabezpieczenie logowania do konta, gdy oprócz hasła wykonywana jest inna czynność. Najpopularniejszą opcją jest kod SMS. Ta metoda nie jest najbardziej niezawodna, ponieważ atakujący mogą przechwycić wiadomość SMS. Bardziej bezpieczne opcje to plik klucza, kody tymczasowe, aplikacja mobilna i token sprzętowy.
Niestety jesteśmy zmuszeni żyć w czasach, w których zapewnienie bezpieczeństwa danych staje się naszym własnym problemem. Mają nadzieję, że operatorzy samodzielnie poniosą odpowiedzialność w przypadku włamania, ale najwyraźniej tak nie jest. A także poleganie na Roskomnadzorze, który w swoich praktykach ochrony danych od dawna oderwał się od rzeczywistości. Niezwykle trudno jest przebić się przez pancerz „materiału odmowy” miejscowego policjanta, który w podobnej sprawie przyjmie Twój wniosek, zwłaszcza dla zwykłego człowieka, który nie wie, jak działa ten system. Co pozostaje? Nie zapomnij o higienie cyfrowej, zaufaj matematyce i broń swoich praw w sądzie.
Źródło: www.habr.com