جعلکارانو د متشبث الیکسي میرونوف د VKontakte پاڼه د MTS پیرودونکي پیژندنې سیسټم کې د زیان مننې له امله غلا کړې. ټولنیز شبکې هیڅکله دا خپل مالک ته نه دی راستانه کړی او له هغه څخه د ناممکن غوښتنه کوي. اوس هغه د دې لپاره VKontakte دعوه کوي. هغه د ډیجیټل حقونو مرکز لخوا استازیتوب کیږي.
الیکسي میرونوف د جیفري کافي سلسلې بنسټ ایښودونکی دی. دا په مسکو او سیمو کې د کافي پلورنځیو فرنچائز دی. الیکسي اکثرا په VKontakte کې د همکارانو او شریکانو سره اړیکه نیولې او هلته یې د خپلې شبکې لپاره خورا مشهور عامه پاڼه ساتلې، د 50 څخه ډیر پیرودونکي شمیرل.
د نومبر په 2018 کې، سهار وختي، کله چې الیکسي چین ته په سوداګرۍ سفر کې و، د هغه د VKontakte پاڼه هک شوه. هغه د VKontakte، WhatsApp او د MTS آپریټر څخه یو پیغام ترلاسه کړ، کوم چې ویلي یې دي چې بل نمبر ته لیږل شوي. الیکسي د فارورډ کولو تنظیم نه و کړی، نو هغه سمدستي اندیښمن شو او MTS ته یې زنګ وواهه. دوی حتی سمدلاسه ندي مشخص کړي چې واقعیا یو لارښود شتون لري. آپریټر وتوانید چې د الیکسي زنګ څخه یوازې دوه ساعته وروسته دا بند کړي. MTS هیڅکله معلومات ونه موندل چې څنګه او کله فارورډینګ فعال شو.
الیکسي ټولنیزو شبکو او فوري میسنجرونو ته لاسرسی چیک کړ او ویې لیدل چې هغه نور نشي کولی د خپل تلیفون شمیرې په کارولو سره دوی ته ننوځي. هکرانو یو بل نمبر د هغه حسابونو سره تړلی. د WhatsApp سره مسله په چټکۍ سره حل شوه. د لیږلو لغوه کولو سمدلاسه وروسته ، میسینجر حق لرونکي مالک ته حساب ته لاسرسی بحال کړ.
الیکسي د VKontakte ملاتړ ته لیکلي چې د پاڼې بیرته ورکولو غوښتنه وکړه او د خپل پاسپورت عکس یې واستاوه. په ماښام کې هغه یو SMS ترلاسه کړ چې غوښتنلیک رد شوی و، ځکه چې اوسني مالک د لاسرسي حق تایید کړ.
د تخنیکي ملاتړ متخصص وویل چې الیکسي کولی شي په داوطلبانه توګه خپلې پاڼې ته لاسرسی دریم اړخ ته انتقال کړي، نو دوی به د هغه لاسرسی بیرته نه راولي. الیکسي د هیک کولو وضعیت تشریح کړ، مګر له هغه څخه وغوښتل شول چې د MTS څخه یو تایید لیک واستوي، په کوم کې چې آپریټر به تایید کړي چې هیک شوی دی. الیکسي د MTS څخه یو لیک چمتو کړ. له دې وروسته، د VKontakte ادارې غوښتنه وکړه چې دا لیک د پولیسو لخوا تصدیق شي. د دې اړتیا پوره کول خورا ستونزمن دي ځکه چې دا د پولیسو دنده نه ده چې لیکونه او د لاسلیک کونکي اعتبار تصدیق کړي. الیکسي وتوانید چې هیک شوی پا pageه بنده کړي یوازې د شخصي VKontakte کارمندانو څخه وپوښتل چې هغه پدې اړه پوهیږي. پاڼه لا نه ده راستانه شوې. یوازینی شی چې الیکسي ترلاسه کړ د هغه حساب بندول و. اوس نه سکیمر او نه هم هغه پخپله کارولی شي.
د VKontakte ملاتړ خدمت یو بل کیسه ده. یوازې مجاز کارونکي کولی شي د VKontakte ملاتړ خدمت سره اړیکه ونیسي. دا پدې مانا ده چې که تاسو خپلې پاڼې ته لاسرسی له لاسه ورکړئ، نو تاسو باید یو نوی جوړ کړئ یا له خپلو ملګرو څخه وغواړئ چې د ملاتړ لیکلو لپاره د دوی پاڼې ته لاسرسی ورکړي. الیکسي د خپلې میرمنې پا pageې څخه د ملاتړ خدماتو متخصصینو سره اړیکه نیولې ، او دا دوی ته زیان نه رسوي ، که څه هم د کارونکي تړون بل چا ته د ننوتلو او پټنوم لیږد اجازه نه ورکوي.
د پاڼې هیک کول او اکاونټ او عامه پاڼې ته د لاسرسي نور زیان په څرګنده توګه د الیکسي سوداګرۍ شهرت او د هغه ملکیت ګټې زیانمنې کړې. د یادولو وړ نه ده چې دې د پام وړ شخصي او سوداګریزو معلوماتو ته اجازه ورکړه چې نامعلومو ځایونو ته لیک شي. د سوداګر له حساب څخه جعلکارانو د هغه له ملګرو څخه وغوښتل چې دوی ته لویې پیسې انتقال کړي. یو کس دوی ته 34 زره روبله لیږدول. برید کوونکو د ۲۴ ساعتونو لپاره د الیکسي له اکاونټ څخه شخصي معلوماتو ته لاسرسی درلود.
د VKontakte په وړاندې قضیه
الیکسي میرونوف د سینټ پیټرزبورګ د سمولنینسکي ولسوالۍ محکمه کې د ټولنیزې شبکې VKontakte په وړاندې دعوی کړې او اوس د قضیې د ټاکلو په تمه دی. هغه له محکمې څخه غوښتنه کوي چې ټولنیز شبکه مکلف کړي چې خپل تړون بشپړ کړي، چې د کارن تړون په بڼه پای ته رسیدلی، او هغه بیرته خپل پاڼې ته لاسرسی ومومي. تر نن ورځې پورې، د VKontakte اداره په غیر معقول ډول د هغه حساب ته د السرسۍ څخه د الیکسي څخه محرومولو ته دوام ورکوي، پداسې حال کې چې هغه په صداقت سره د کارونکي تړون شرایطو سره سم عمل کړی او سمدلاسه یې د ټولنیز شبکې تخنیکي مالتړ خدمت ته د هیک په اړه خبر ورکړی. VKontakte د کارن تړون کې د یوې مادې په حواله، پاڼې ته د هغه د لاسرسي له بحالولو څخه انکار وکړ چې کاروونکي یې د دریمې ډلې ته د خپل پاڼې ننوتل او پټنوم لیږدول منع کوي. د VKontakte ملاتړ کونکي اجنټ چې ورسره الیکسي خبرې کړې ویلي چې تاسو کولی شئ یوازې د آپریټر دفتر ته د لیدو او خپل پاسپورت وړاندې کولو سره د تلیفون شمیره فارورډ کول تنظیم کړئ. په حقیقت کې، دا قضیه نده، او دا د Roskomnadzor لخوا د الیکسي اپیل په ځواب کې تایید شوی.
ټولنیز شبکه، د کارونکي تړون څخه په سرغړونې سره، په غیر معقول ډول د هغه د پاڼې کارولو ته د الیکسي لاسرسی محدود کړ. دا د مکلفیتونو د پوره کولو لپاره یو اړخیز انکار دی، د مادې 1 پراګراف څخه سرغړونه ده. 30 د روسیې فدراسیون مدني قانون. خپل حساب ته د هغه د لاسرسي څخه په محرومولو سره، VK هم الیکسي د خپل عامه پاڼې اداره کولو حق څخه محروم کړ، کوم چې د هغه لپاره یو مهم غیر ضروري شتمني ده. (موږ د عامه بازار په اړه د ډیجیټل ملکیت د یوې نوې بڼې او د دوی سره د معاملو پای ته رسولو ځانګړتیاوو په اړه لیکلي )
د MTS پیژندنې سیسټم کې امنیتي سوراخ
د متشبث په استازیتوب د سکیمرانو لخوا ترسره شوي لیکونه ښیې چې دوی د هغه د سوداګرۍ او سوداګرۍ سفر په اړه پوهیدل. دوی د MTS د تماس مرکز ته بلنه ورکړه، د الیکسي په استازیتوب یې د ځان پیژندلو توان درلود او د زنګ وهلو مخه یې ونیوله. برید کوونکي کولی شي د ټولنیز انجینرۍ له لارې د هغه د پاسپورت ډیټا ترلاسه کړي. الیکسي میرونوف د فرنچائز بنسټ ایښودونکی دی، نو ډیری خلک چې د فرنچائز تاسیساتو په پرانستلو کې ښکیل دي کولی شي د هغه د پاسپورت معلومات ولري. MTS یوه داخلي څیړنه ترسره کړه، مګر ونه توانید چې معلومه کړي چې څوک په ریښتیا سره فارورډینګ نصب کړی او برید کونکي څنګه ایس ایم ایس مداخله کړې. شرکت ګناه ونه منله، مګر په ورته وخت کې الیکسي ته خورا عجیب جبران وړاندیز وکړ - 750 روبل.
موږ په پام کې نیولي چې یوازې د سم شخصي معلوماتو په کارولو سره د لیرې څخه د پیرودونکي پیژندل خورا شکمن عمل دی او Roskomnadzor ته یې شکایت لیکلی ترڅو د شخصي معلوماتو په اړه د قانون اړتیاو سره د دې ډول شرکت پروسې اطاعت تصدیق کړي. د پایلې په توګه، Roskomnadzor د MTS سره اړخ لګوي، په ګوته کوي چې د تلیفون له لارې د لیرې پیژندنې وروسته د مخابراتو خدماتو اداره کول پداسې حال کې چې د سم شخصي معلوماتو چمتو کول خورا نورمال دي، او د دې ډول غیر مجاز کړنو په وړاندې د محافظت اضافي میتودونه رامینځته کول پخپله د پیرودونکي لپاره سر درد دی، نه. ټولۍ . ( بشپړ ځواب ولولئ - )
د الیکسي میرونوف حساب هیک کول د MTS پیرودونکي ډیټا ته د غیر مجاز لاسرسي لومړۍ قضیه نده. په 2018 کې، د 500 زره پیرودونکو ډیټابیس په نووسیبیرسک کې دوه بریدګر چې یو یې د شرکت کارکوونکی و. دوی هڅه وکړه چې ډیټابیس د یو پیرودونکي ډیټا لپاره د 1 روبل په نرخ وپلوري.
په 2016 کې شتون درلود ټیلیګرام د اپوزیسیون فعالانو جیورګی البروف او اولیګ کوزلوفسکي حسابونه. د دوی حسابونه د MTS شمیرو سره تړل شوي وو، او د هیک کولو څخه لږ وخت دمخه، د دوی د ایس ایم ایس خدمت غیر فعال شوی و او فارورډینګ فعال شوی و. د ماتیدو شرایط هم ندي رامینځته شوي. په 2019 کې، اولیګ کوزلوفسکي د MTS په وړاندې یوه دعوی وکړه، مګر محکمې دا رد کړه.
د هیک کولو څخه د مختلف ویب خدماتو او غوښتنلیکونو حسابونو ساتنه پخپله د کارونکي مسؤلیت دی. دا دریځ پخپله د مخابراتو آپریټرانو او تنظیم کونکي لخوا شریک شوی ، د کوم له مخې چې دوی د خپلو پیرودونکو سره دا خطرونه شریکولو څخه انکار کوي.
RKN دا په خپل ځواب کې دا ډول تشریح کوي:
"... د MTS د شرایطو د 2.11 بند له مخې، د پیژندنې موخو لپاره، د مخابراتي آپریټر پیرودونکو ته فرصت ورکول کیږي چې د کوډ کلمه وکاروي - د سمبولونو ترتیب (حروف، شمیرې) چې د پیرودونکي لخوا په ترتیب شوي فورمه کې مشخص شوي. آپریټر، کوم چې د تړون اجرا کولو په وخت کې د پیرودونکي پیژندلو لپاره کار کوي. پیرودونکی فرصت لري چې دواړه د تړون پای ته رسیدو پرمهال د کوډ کلمه تنظیم کړي (پدې حالت کې دا د اجباري توضیحاتو سره د تړون په فورمه کې داخلیږي) او هر وخت د تړون اجرا کولو پرمهال. سره له دې، پیرودونکي میرونوف A.K. د کوډ کلمه د خدمت د جنجالي اړیکې دمخه نه وه ټاکل شوې. په داسې شرایطو کې، یوازې پیرودونکي د مخابراتي آپریټر سره د پیژندنې پر مهال د کوډ کلمې په جوړولو سره کولی شي د داسې شرایطو څخه د ناوړه پایلو خطر بې طرفه کړي، مګر له دې فرصت څخه ګټه پورته نه کړه.
د حساب بیرته راګرځول. ماموریت ناممکن دی
د Roskomnadzor د بې کفایتۍ په اړه شکایت دمخه د څارنوالۍ دفتر ته ثبت شوی. په عین حال کې، پولیس د جرم د راپور په اړه چپ پاتې دي. هیڅوک د شرکت دننه د تحقیقاتو پایلو په اړه هیڅ راپور نه ورکوي. MTS هیڅ ګناه نه مني. هیڅوک پروا نه کوي. په ورته وخت کې، VKontakte د حساب مالک ته د لاسرسي له بیرته راستنیدو څخه انکار ته دوام ورکوي تر هغه چې هغه د پولیسو څخه د جرمي قضیې پیل کولو لپاره د مشخص حقایقو او د MTS یو لیک رامینځته کولو پریکړه راوړي، کوم چې دا به تایید کړي چې د بیرته راستنیدو خدمت د سیالۍ وړ دی. په لیک کې د کافي پراخه توضیحاتو سره ، دا اړتیا هم شتون لري چې میرونوف باید د MTS څخه یو سند هم چمتو کړي چې هغه د تلیفون شمیره یوازینی (او په کوم ځای کې چلونکي د تلیفون شمیرو ګډ ملکیت ثبتوي؟) د تلیفون شمیره کارونکي چې ورسره تړاو لري. پاڼه ځواب د تیرې اونۍ پای ته ورسید، او په وضعیت کې د خنډ او د VKontakte سره د شپږو میاشتو لپاره موافقې ته د رسیدو ناشونیتیا ته په پام سره، موږ محکمې ته لاړو.
څنګه د هک کولو څخه ځان وژغورئ
برید کوونکي کولی شي د نورو زیانونو له لارې د تلیفون شمیرې اداره کولو ته هم لاسرسی ومومي - د SS7 پروتوکول یا د بې ایمانه آپریټر کارمندانو په مرسته د نقل سیم کارت ترلاسه کول.
SS7 یو تخنیکي پروتوکول دی چې د مخابراتو آپریټرانو لخوا کارول کیږي. دا یو زوړ او ظاهرا نه لرې کیدونکی لري ، کوم چې تاسو ته اجازه درکوي د تلیفون یا SMS له لارې د پیرودونکو لخوا لیږدول شوي ډیټا مداخله وکړئ. یوازې آپریټران SS7 ته لاسرسی لري ، مګر برید کونکي کولی شي دا په پرمختللو هیوادونو کې د آپریټرانو څخه تاریک نیټ ته د لاسرسي پیرود کولو یا د ګرځنده چلونکو د بې ایمانه کارمندانو له لارې ترلاسه کړي. برید هغه وخت رامینځته کیږي کله چې برید کونکی د پیرودونکي بلینګ سیسټم پته خپل پته ته بدلوي. ډیری وختونه ، برید کونکي سیسټم ته خبر ورکوي چې پیرودونکي په نړیوال رومینګ کې دي ، نو د ځان ساتلو ترټولو اسانه لاره دا ده چې نړیوال رومینګ غیر فعال کړئ که تاسو یې ونه کاروئ.
الیکسي میرونوف لا تر اوسه د Vkontakte لپاره د دوه فاکتور تصدیق کولو سیسټم نه درلود. دا فعالیت په VK کې د جون په 2014 کې. شاید هغه کولی شي د هغه حساب له هک کیدو څخه خوندي کړي. دا د یادولو وړ ده چې په ساده ډول د تلیفون شمیرې سره د حساب لینک کول دوه فاکتور تصدیق ندی. - دا یو حساب ته د ننوتلو محافظت دی کله چې د پاسورډ سربیره ، بل عمل ترسره کیږي. تر ټولو عام انتخاب د SMS کوډ دی. دا طریقه خورا باوري نه ده، ځکه چې برید کونکي کولی شي د ایس ایم ایس پیغام مداخله وکړي. نور خوندي انتخابونه کلیدي فایل، لنډمهاله کوډونه، د ګرځنده غوښتنلیک او هارډویر نښه ده.
له بده مرغه، موږ اړ یو چې په داسې دوره کې ژوند وکړو چې د معلوماتو امنیت ډاډمن کول زموږ خپله ستونزه ده. دوی هیله لري چې چلونکي به په خپلواکه توګه د هک کولو په صورت کې مسؤلیت په غاړه واخلي، مګر ظاهرا داسې نه ده. همدارنګه په Roskomnadzor باندې تکیه کول، کوم چې د اوږدې مودې راهیسې د دې ډیټا محافظت عملونو کې له واقعیت څخه طلاق شوی. د محلي پولیسو افسر د "انکار موادو" زغره ماتول خورا خورا ستونزمن دي څوک چې ستاسو غوښتنلیک په ورته قضیه کې ترلاسه کوي ، په ځانګړي توګه د یو عادي کس لپاره چې نه پوهیږي دا سیسټم څنګه کار کوي. څه پاتې دي؟ د ډیجیټل حفظ الصحې په اړه مه هېروئ، په ریاضیاتو باور وکړئ او په محکمه کې د خپلو حقونو دفاع وکړئ.
سرچینه: www.habr.com