Escrocii au furat pagina VKontakte a antreprenorului Alexey Mironov din cauza unei vulnerabilități în sistemul de identificare a clienților MTS. Rețeaua de socializare nu i-a returnat niciodată proprietarului și îi cere imposibilul. Acum el dă în judecată VKontakte pentru asta. El este reprezentat de Centrul pentru Drepturile Digitale.
Alexey Mironov este fondatorul lanțului Jeffrey's Coffee. Aceasta este o franciză de cafenele din Moscova și din regiuni. Alexey a comunicat adesea cu colegii și partenerii de pe VKontakte și a menținut acolo o pagină publică foarte populară pentru rețeaua sa, numărând peste 50 de abonați.
În noiembrie 2018, dis-de-dimineață, când Alexey se afla într-o călătorie de afaceri în China, pagina lui VKontakte a fost spartă. A primit SMS-uri de la VKontakte, WhatsApp și un mesaj de la operatorul MTS, care spunea că a fost configurată redirecționarea către un alt număr. Alexey nu a configurat redirecționarea, așa că a devenit imediat îngrijorat și a sunat la MTS. Nici măcar nu au stabilit imediat că a existat într-adevăr o redirecționare. Operatorul a reușit să o dezactiveze la doar două ore după apelul lui Alexey. MTS nu a găsit niciodată date despre cum și când a fost activată redirecționarea.
Alexey a verificat accesul la rețelele sociale și la mesageria instantanee și a văzut că nu se mai putea conecta la ele folosind numărul de telefon. Hackerii au legat un alt număr la conturile lui. Cu WhatsApp problema a fost rezolvată rapid. Imediat după anularea redirecționării, messengerul a restabilit accesul la cont proprietarului de drept.
Alexey a scris suportului VKontakte cerând să returneze pagina și a trimis o fotografie a pașaportului său. Seara a primit un SMS că cererea a fost respinsă, întrucât actualul proprietar i-a confirmat dreptul de acces.
Un specialist în suport tehnic a declarat că Alexey ar putea transfera în mod voluntar accesul la pagina sa către terți, astfel încât aceștia nu îi vor restabili accesul. Alexey a explicat situația de hacking, dar i s-a cerut să trimită o scrisoare de confirmare de la MTS, în care operatorul ar confirma că a avut loc un hack. Alexey a furnizat o scrisoare de la MTS. După aceasta, administrația VKontakte a cerut ca această scrisoare să fie certificată de poliție. Această cerință este foarte greu de îndeplinit deoarece nu este funcția poliției să certifice scrisorile și acreditările semnatarului. Alexey a putut să blocheze pagina piratată doar cerându-le personal angajaților săi VKontakte să facă acest lucru. Pagina nu a fost returnată încă. Singurul lucru pe care l-a realizat Alexey a fost blocarea contului. Acum nici escrocii și nici el însuși nu o pot folosi.
Serviciul de asistență VKontakte este o altă poveste. Numai utilizatorii autorizați pot contacta serviciul de asistență VKontakte. Aceasta înseamnă că dacă pierzi accesul la pagina ta, trebuie să creezi una nouă sau să le ceri prietenilor tăi să dea acces la paginile lor pentru a scrie în sprijin. Alexey a corespondat cu specialiștii serviciilor de asistență de pe pagina soției sale, iar acest lucru nu i-a deranjat, deși Acordul de utilizare nu permite transferul numelui de utilizator și al parolei către altcineva.
Hackerea paginii și pierderea în continuare a accesului la cont și la pagina publică au afectat în mod evident atât reputația de afaceri a lui Alexey, cât și interesele sale de proprietate. Ca să nu mai vorbim că acest lucru a permis ca o cantitate semnificativă de informații personale și comerciale să se scurgă către destinații necunoscute. Escrocii din contul omului de afaceri le-au cerut prietenilor săi să le transfere sume mari de bani. O persoană le-a transferat 34 de mii de ruble. Atacatorii au avut acces la informațiile personale din contul lui Alexey timp de XNUMX de ore.
Proces împotriva VKontakte
Alexey Mironov a intentat un proces împotriva rețelei de socializare VKontakte la Tribunalul Districtual Smolninsky din Sankt Petersburg și acum așteaptă atribuirea cazului. Solicită instanței să oblige rețeaua de socializare să-și îndeplinească propriul acord, încheiat sub forma unui Acord de Utilizare, și să îi returneze accesul la pagina sa. Până în prezent, administrația VKontakte continuă să-l priveze pe Alexey de accesul la contul său în mod nerezonabil, în timp ce acesta a respectat cu conștiință termenii Acordului de utilizare și a informat imediat serviciul de asistență tehnică al rețelei sociale despre hack. VKontakte a refuzat să-și restabilească accesul la pagină, invocând o clauză din Acordul de utilizare care interzice utilizatorilor să-și transfere datele de conectare și parola de pe pagină către terți. Agentul de asistență VKontakte cu care a vorbit Alexey a declarat că puteți configura redirecționarea numărului de telefon doar vizitând biroul operatorului și prezentând pașaportul. De fapt, acesta nu este cazul, iar acest lucru a fost confirmat de Roskomnadzor ca răspuns la apelul lui Alexey.
Rețeaua de socializare, încălcând Acordul de utilizare, a limitat în mod nejustificat accesul lui Alexey la utilizarea paginii sale. Acesta este un refuz unilateral de a îndeplini obligațiile, încălcând paragraful 1 al art. 30 Cod civil al Federației Ruse. Privindu-l de acces la contul său, VK l-a lipsit și pe Alexey de drepturile de a-și administra pagina publică, care este un bun intangibil important pentru el. (Am scris despre piața publică ca o nouă formă de proprietate digitală și despre particularitățile încheierii tranzacțiilor cu acestea )
Găuri de securitate în sistemul de identificare MTS
Corespondența purtată de escroci în numele antreprenorului arată că aceștia știau despre călătoria lui de afaceri și de afaceri. Au sunat la centrul de contact MTS, au putut să se identifice în numele lui Alexey și să configureze redirecționarea apelurilor. Atacatorii ar putea obține datele sale de pașaport prin inginerie socială. Alexey Mironov este fondatorul francizei, așa că mulți oameni implicați în deschiderea unităților de franciză ar putea avea informații despre pașaportul său. MTS a efectuat o investigație internă, dar nu a reușit să stabilească cine a instalat exact redirecționarea și cum a interceptat atacatorul SMS-ul. Compania nu a recunoscut vinovăția, dar, în același timp, i-a oferit lui Alexey o compensație foarte ciudată - 750 de ruble.
Am considerat că identificarea unui abonat de la distanță doar folosind date personale corecte este o practică foarte dubioasă și am scris o plângere către Roskomnadzor pentru a verifica conformitatea acestui tip de proces al companiei cu cerințele legislației privind datele personale. Drept urmare, Roskomnadzor a fost de partea MTS, subliniind că gestionarea serviciilor de comunicații după identificarea de la distanță prin telefon în timp ce furnizarea datelor personale corecte este destul de normală, iar stabilirea unor metode suplimentare de protecție împotriva acestui tip de acțiuni neautorizate este o bătaie de cap pentru abonat însuși, nu. Compania . (citește răspunsul complet - )
Hackerea contului lui Alexey Mironov nu este primul caz de acces neautorizat la datele abonaților MTS. În 2018, baza de date de 500 de mii de abonați în Novosibirsk doi atacatori, dintre care unul era angajat al companiei. Ei au încercat să vândă baza de date la un preț de 1 rublă pentru datele unui abonat.
În 2016 au existat Conturi telegrame ale activiștilor din opoziție Georgy Alburov și Oleg Kozlovsky. Conturile lor au fost legate de numere MTS și, cu puțin timp înainte de hack, serviciul lor de SMS a fost dezactivat și redirecționarea a fost activată. Nici circumstanțele spargerii nu au fost stabilite. În 2019, Oleg Kozlovsky a intentat un proces împotriva MTS, dar instanța a respins-o.
Protejarea conturilor diferitelor servicii web și aplicații împotriva hackingului este responsabilitatea utilizatorului însuși. Această poziție este împărtășită atât de operatorii de telecomunicații, cât și de autoritatea de reglementare însuși, conform cărora aceștia refuză să împărtășească aceste riscuri cu propriii abonați.
RKN îl descrie astfel în răspunsul său:
„... Conform clauzei 2.11 din Condițiile MTS, în scopuri de identificare, abonaților din cadrul operatorului de telecomunicații li se oferă posibilitatea de a utiliza un Cuvânt Cod - o secvență de simboluri (litere, cifre) specificată de Abonat în forma stabilită de Operatorul, care servește la identificarea Abonatului la executarea Contractului. Abonatul are posibilitatea de a seta un cuvânt de cod atât la încheierea unui acord (în acest caz se înscrie în formularul de acord împreună cu detaliile obligatorii), cât și în orice moment în timpul executării contractului. În ciuda acestui fapt, abonatul Mironov A.K. cuvântul de cod nu a fost setat înainte de conexiunea contestată a serviciului. În astfel de împrejurări, doar abonatul, prin stabilirea unui cuvânt de cod în timpul identificării cu operatorul de telecomunicații, putea neutraliza riscul unor consecințe negative ale unor astfel de situații, dar nu a profitat de această oportunitate.”
Recuperarea contului. Misiune imposibila
O plângere cu privire la inacțiunea lui Roskomnadzor a fost deja depusă la parchet. Între timp, poliția continuă să păstreze tăcerea cu privire la raportul de crimă. Nimeni nu raportează nimic în interiorul companiei despre rezultatele anchetei. MTS nu admite nicio vină. Nimanui nu-i pasa. În același timp, VKontakte continuă să refuze proprietarului contului să restabilească accesul la acesta până când aduce de la poliție o Rezoluție de pornire a unui dosar penal prin care se stabilește faptele specificate și o scrisoare de la MTS, care va confirma că serviciul de redirecționare este contestabil. În scrisoarea cu explicații destul de ample, există și o cerință ca Mironov să furnizeze și un certificat de la MTS că el este singurul utilizator (și ce, undeva operatorii înregistrează proprietatea comună a numerelor de telefon?) al numărului de telefon cu care a fost legat. pagina. Răspunsul a sosit la sfârșitul săptămânii trecute și, având în vedere blocajul din situație și imposibilitatea de a ajunge la un acord cu VKontakte de șase luni, am mers în instanță.
Cum să te protejezi de hacking
Atacatorii pot avea acces la gestionarea unui număr de telefon și prin alte vulnerabilități – protocolul SS7 sau obținerea unei cartele SIM duplicate cu ajutorul angajaților fără scrupule ale operatorului.
SS7 este un protocol tehnic folosit de operatorii de telecomunicații. Conține un vechi și aparent de nedemontat , care vă permite să interceptați datele transmise de abonați în timpul unui apel sau prin SMS. Doar operatorii au acces la SS7, dar atacatorii îl pot obține achiziționând acces pe darknet de la operatori din țările subdezvoltate sau prin angajați fără scrupule ai operatorilor de telefonie mobilă. Un atac are loc atunci când un atacator schimbă adresa sistemului de facturare a abonatului cu propria sa adresă. Cel mai adesea, atacatorii informează sistemul că abonatul se află în roaming internațional, așa că cel mai simplu mod de a vă proteja este să dezactivați roamingul internațional dacă nu îl utilizați.
Alexey Mironov nu avea încă un sistem de autentificare cu doi factori configurat pentru Vkontakte. Această funcție în VK în iunie 2014. Poate că ar putea să-i protejeze contul de a fi piratat. Merită să ne amintim că simpla conectare a unui cont la un număr de telefon nu este o autentificare cu doi factori. — aceasta este protecția de conectare la un cont atunci când, pe lângă parolă, este efectuată o altă acțiune. Cea mai comună opțiune este un cod SMS. Această metodă nu este cea mai de încredere, deoarece atacatorii pot intercepta mesajul SMS. Opțiuni mai sigure sunt un fișier cheie, coduri temporare, o aplicație mobilă și un token hardware.
Din păcate, suntem forțați să trăim într-o eră în care asigurarea securității datelor devine propria noastră problemă. Ei speră ca operatorii să poarte independent responsabilitatea în cazul unui hack, dar se pare că nu este cazul. Pe lângă faptul că se bazează pe Roskomnadzor, care a fost mult timp separat de realitate în practicile sale de protecție a datelor. Este incredibil de dificil să spargi armura „materialului de refuz” al polițistului local care vă va primi cererea într-un caz similar, mai ales pentru o persoană obișnuită care nu știe cum funcționează acest sistem. Ce ramane? Nu uita de igiena digitală, ai încredere în matematică și apără-ți drepturile în instanță.
Sursa: www.habr.com