Os fraudadores roubaram a página VKontakte do empresário Alexey Mironov devido a uma vulnerabilidade no sistema de identificação de clientes MTS. A rede social nunca o devolveu ao seu dono e exige dele o impossível. Agora ele está processando o VKontakte por isso. Ele é representado pelo Centro de Direitos Digitais.
Alexey Mironov é o fundador da rede Jeffrey's Coffee. Esta é uma franquia de cafeterias em Moscou e regiões. Alexey frequentemente se comunicava com colegas e parceiros no VKontakte e mantinha uma página pública muito popular para sua rede, com mais de 50 assinantes.
Em novembro de 2018, no início da manhã, quando Alexey estava em viagem de negócios na China, sua página do VKontakte foi hackeada. Ele recebeu SMS do VKontakte, WhatsApp e uma mensagem da operadora MTS informando que foi configurado o encaminhamento para outro número. Alexey não configurou o encaminhamento, então imediatamente ficou preocupado e ligou para a MTS. Eles nem mesmo determinaram imediatamente que havia de fato um redirecionamento. A operadora conseguiu desligá-lo apenas duas horas após a ligação de Alexey. O MTS nunca encontrou dados sobre como e quando o encaminhamento foi ativado.
Alexey verificou o acesso às redes sociais e mensageiros instantâneos e viu que não conseguia mais fazer login neles usando seu número de telefone. Os hackers vincularam outro número às suas contas. Com o WhatsApp o problema foi resolvido rapidamente. Imediatamente após cancelar o encaminhamento, o mensageiro restaurou o acesso à conta ao legítimo proprietário.
Alexey escreveu ao suporte do VKontakte pedindo a devolução da página e enviou uma foto de seu passaporte. À noite recebeu um SMS informando que o pedido foi rejeitado, uma vez que o atual proprietário confirmou o direito de acesso.
Um especialista de suporte técnico afirmou que Alexey poderia transferir voluntariamente o acesso à sua página para terceiros, para que não restaurassem seu acesso. Alexey explicou a situação do hacking, mas foi solicitado que enviasse uma carta de confirmação da MTS, na qual a operadora confirmaria a ocorrência de um hack. Alexey forneceu uma carta da MTS. Depois disso, a administração do VKontakte exigiu que esta carta fosse certificada pela polícia. Este requisito é muito difícil de cumprir porque não é função da polícia certificar as cartas e as credenciais do signatário. Alexey só conseguiu bloquear a página hackeada perguntando pessoalmente aos funcionários do VKontakte se ele sabia disso. A página ainda não foi devolvida. A única coisa que Alexey conseguiu foi bloquear sua conta. Agora, nem os golpistas nem ele próprio podem usá-lo.
O serviço de suporte VKontakte é uma história diferente. Somente usuários autorizados podem entrar em contato com o serviço de suporte VKontakte. Isso significa que se você perder o acesso à sua página, deverá criar uma nova ou pedir a seus amigos que concedam acesso às suas páginas para escrever em apoio. Alexey se correspondeu com especialistas do serviço de suporte da página de sua esposa, e isso não os incomodou, embora o Contrato do Usuário não permita a transferência de login e senha para outra pessoa.
A invasão da página e a perda adicional de acesso à conta e à página pública obviamente prejudicaram tanto a reputação comercial de Alexey quanto seus interesses de propriedade. Sem falar que isso permitiu que uma quantidade significativa de informações pessoais e comerciais vazassem para destinos desconhecidos. Os fraudadores da conta do empresário pediram a seus amigos que transferissem grandes somas de dinheiro para eles. Uma pessoa transferiu 34 mil rublos para eles. Os invasores tiveram acesso às informações pessoais da conta de Alexey por XNUMX horas.
Processo contra VKontakte
Alexey Mironov entrou com uma ação contra a rede social VKontakte no Tribunal Distrital de Smolninsky de São Petersburgo e agora aguarda a atribuição do caso. Ele pede ao tribunal que obrigue a rede social a cumprir o seu próprio acordo, celebrado sob a forma de Contrato de Utilização, e a devolver-lhe o acesso à sua página. Até hoje, a administração do VKontakte continua a privar Alexey de acesso à sua conta de forma injustificada, enquanto ele cumpriu conscientemente os termos do Contrato do Usuário e informou imediatamente o serviço de suporte técnico da rede social sobre o hack. VKontakte recusou-se a restaurar seu acesso à página, citando uma cláusula no Contrato do Usuário que proíbe os usuários de transferir o login e a senha da página para terceiros. O agente de suporte VKontakte com quem Alexey conversou afirmou que você só pode configurar o encaminhamento de número de telefone visitando o escritório da operadora e apresentando seu passaporte. Na verdade, este não é o caso, e isto foi confirmado por Roskomnadzor em resposta ao apelo de Alexey.
A rede social, violando o Contrato do Usuário, limitou injustificadamente o acesso de Alexey ao uso de sua página. Trata-se de recusa unilateral de cumprimento de obrigações, violando o § 1º do art. 30 do Código Civil da Federação Russa. Ao privá-lo do acesso à sua conta, VK também privou Alexey dos direitos de administrar sua página pública, que é um importante ativo intangível para ele. (Escrevemos sobre o mercado público como uma nova forma de propriedade digital e as peculiaridades de concluir transações com eles )
Falhas de segurança no sistema de identificação MTS
A correspondência conduzida pelos golpistas em nome do empresário mostra que eles sabiam de seus negócios e viagem de negócios. Eles ligaram para o contact center MTS, conseguiram se identificar em nome de Alexey e configurar o encaminhamento de chamadas. Os invasores poderiam obter os dados do passaporte por meio de engenharia social. Alexey Mironov é o fundador da franquia, muitas pessoas envolvidas na abertura de estabelecimentos franqueados poderiam ter as informações de seu passaporte. A MTS conduziu uma investigação interna, mas não conseguiu determinar quem exatamente instalou o encaminhamento e como o invasor interceptou o SMS. A empresa não admitiu culpa, mas ao mesmo tempo ofereceu a Alexei uma compensação muito estranha - 750 rublos.
Consideramos que identificar um assinante remotamente apenas com dados pessoais corretos é uma prática muito duvidosa e escrevemos uma reclamação ao Roskomnadzor para verificar a conformidade deste tipo de processo empresarial com os requisitos da legislação sobre dados pessoais. Como resultado, Roskomnadzor ficou do lado do MTS, ressaltando que gerenciar serviços de comunicação após identificação remota por telefone e fornecer dados pessoais corretos é bastante normal, e estabelecer métodos adicionais de proteção contra esse tipo de ações não autorizadas é uma dor de cabeça para o próprio assinante, não a empresa. (leia a resposta completa - )
A invasão da conta de Alexey Mironov não é o primeiro caso de acesso não autorizado aos dados dos assinantes do MTS. Em 2018, a base de dados de 500 mil assinantes em Novosibirsk, dois agressores, um dos quais era funcionário da empresa. Eles tentaram vender o banco de dados ao preço de 1 rublo pelos dados de um assinante.
Em 2016 foram Relatos de telegrama dos ativistas da oposição Georgy Alburov e Oleg Kozlovsky. Suas contas foram vinculadas a números MTS e, pouco antes do hack, seu serviço de SMS foi desativado e o encaminhamento foi ativado. As circunstâncias do arrombamento também não foram apuradas. Em 2019, Oleg Kozlovsky entrou com uma ação contra a MTS, mas o tribunal rejeitou.
A proteção de contas de vários serviços e aplicativos da web contra hackers é de responsabilidade do próprio usuário. Esta posição é partilhada tanto pelos operadores de telecomunicações como pelo próprio regulador, segundo o qual se recusam a partilhar estes riscos com os seus próprios assinantes.
RKN descreve desta forma em sua resposta:
“... De acordo com a cláusula 2.11 das Condições do STM, para fins de identificação, os assinantes da operadora de telecomunicações têm a oportunidade de utilizar uma Palavra Código - uma sequência de símbolos (letras, números) especificados pelo Assinante na forma estabelecida por a Operadora, que serve para identificar o Assinante na celebração do Contrato. O assinante tem a oportunidade de definir uma palavra-código tanto no momento da celebração do contrato (neste caso é inserida no formulário do contrato juntamente com os dados obrigatórios) como a qualquer momento durante a execução do contrato. Apesar disso, o assinante Mironov A.K. a palavra-código não foi definida antes da conexão contestada do serviço. Nessas circunstâncias, apenas o assinante, ao estabelecer uma palavra-código durante a identificação com a operadora de telecomunicações, poderia neutralizar o risco de consequências adversas de tais situações, mas não aproveitou esta oportunidade.”
Recuperação de conta. Missão Impossível
Uma reclamação sobre a inação de Roskomnadzor já foi apresentada ao Ministério Público. Enquanto isso, a polícia continua em silêncio sobre a denúncia do crime. Ninguém informa nada dentro da empresa sobre os resultados da investigação. MTS não admite qualquer culpa. Ninguém se importa. Ao mesmo tempo, o VKontakte continua a recusar ao titular da conta a restauração do acesso à mesma até que ele traga da polícia uma Resolução para iniciar um processo criminal estabelecendo os factos especificados e uma carta da MTS, que confirmará que o serviço de redireccionamento é contestável. Na carta com explicações bastante extensas, há também a exigência de que Mironov também forneça um certificado da MTS de que ele é o único (e o que, em algum lugar as operadoras registram propriedade conjunta de números de telefone?) usuário do número de telefone que foi vinculado a a página. A resposta chegou no final da semana passada e, dado o impasse da situação e a impossibilidade de chegar a um acordo com o VKontakte há seis meses, recorremos à justiça.
Como se proteger de hackers
Os invasores também podem obter acesso ao gerenciamento de um número de telefone por meio de outras vulnerabilidades - o protocolo SS7 ou a obtenção de um cartão SIM duplicado com a ajuda de funcionários inescrupulosos da operadora.
SS7 é um protocolo técnico utilizado por operadoras de telecomunicações. Ele contém um antigo e aparentemente irremovível , que permite interceptar dados transmitidos pelos assinantes durante uma chamada ou via SMS. Apenas os operadores têm acesso ao SS7, mas os atacantes podem obtê-lo comprando acesso na darknet a operadores de países subdesenvolvidos ou através de funcionários inescrupulosos de operadores móveis. Um ataque ocorre quando um invasor altera o endereço do sistema de cobrança do assinante para seu próprio endereço. Na maioria das vezes, os invasores informam ao sistema que o assinante está em roaming internacional, portanto, a maneira mais fácil de se proteger é desabilitar o roaming internacional caso não o utilize.
Alexey Mironov ainda não tinha um sistema de autenticação de dois fatores configurado para Vkontakte. Esta função em VK em junho de 2014. Talvez ela pudesse proteger a conta dele de ser hackeada. Vale lembrar que simplesmente vincular uma conta a um número de telefone não é autenticação de dois fatores. — trata-se da proteção do login de uma conta quando, além da senha, outra ação é realizada. A opção mais comum é um código SMS. Este método não é o mais confiável, pois os invasores podem interceptar a mensagem SMS. Opções mais seguras são um arquivo de chave, códigos temporários, um aplicativo móvel e um token de hardware.
Infelizmente, somos forçados a viver numa época em que garantir a segurança dos dados se torna um problema nosso. Eles esperam que os operadores assumam a responsabilidade de forma independente no caso de um hack, mas aparentemente este não é o caso. Além de contar com Roskomnadzor, há muito divorciado da realidade em suas práticas de proteção de dados. É incrivelmente difícil romper a armadura do “material de recusa” do policial local que receberá sua solicitação em um caso semelhante, especialmente para uma pessoa comum que não sabe como esse sistema funciona. O que resta? Não se esqueça da higiene digital, confie na matemática e defenda os seus direitos em tribunal.
Fonte: habr.com