Podvodníci ukradli stránku VKontakte podnikateľa Alexeja Mironova kvôli zraniteľnosti v systéme identifikácie zákazníkov MTS. Sociálna sieť ho jeho majiteľovi nikdy nevrátila a žiada od neho nemožné. Teraz za to žaluje VKontakte. Zastupuje ho Centrum pre digitálne práva.
Alexey Mironov je zakladateľom siete Jeffrey's Coffee. Toto je franšíza kaviarní v Moskve a regiónoch. Alexey často komunikoval s kolegami a partnermi na VKontakte a udržiaval tam veľmi populárnu verejnú stránku pre svoju sieť s viac ako 50 000 predplatiteľmi.
V novembri 2018, skoro ráno, keď bol Alexey na služobnej ceste v Číne, bola jeho stránka VKontakte napadnutá. Dostal SMS z VKontakte, WhatsApp a správu od operátora MTS, ktorá hovorila, že je nastavené presmerovanie na iné číslo. Alexey nenastavil preposielanie, takže sa okamžite znepokojil a zavolal MTS. Dokonca ani okamžite nezistili, že skutočne došlo k presmerovaniu. Operátor ho dokázal vypnúť len dve hodiny po Alexeyho hovore. MTS nikdy nenašla údaje o tom, ako a kedy bolo presmerovanie aktivované.
Alexey skontroloval prístup k sociálnym sieťam a instant messengerom a zistil, že sa do nich už nemôže prihlásiť pomocou svojho telefónneho čísla. Hackeri pripojili k jeho účtom ďalšie číslo. S WhatsApp bol problém rýchlo vyriešený. Ihneď po zrušení preposielania správca obnovil prístup k účtu právoplatnému vlastníkovi.
Alexey napísal na podporu VKontakte a požiadal o vrátenie stránky a poslal fotografiu svojho pasu. Večer mu prišla SMS, že žiadosť bola zamietnutá, keďže súčasný majiteľ potvrdil právo na prístup.
Špecialista technickej podpory uviedol, že Alexey mohol dobrovoľne preniesť prístup na svoju stránku na tretie strany, takže mu prístup neobnovia. Alexey vysvetlil situáciu hackovania, ale bol požiadaný, aby poslal potvrdzujúci list od MTS, v ktorom by operátor potvrdil, že došlo k hacknutiu. Alexey poskytol list od MTS. Potom administratíva VKontakte požadovala, aby tento list potvrdila polícia. Túto požiadavku je veľmi ťažké splniť, pretože úlohou polície nie je overovať listy a poverenia signatára. Alexey dokázal zablokovať napadnutú stránku iba tým, že sa osobne spýtal zamestnancov VKontakte, že o tom vedel. Stránka zatiaľ nebola vrátená. Jediné, čo Alexey dosiahol, bolo zablokovanie jeho účtu. Teraz to nemôžu použiť ani podvodníci, ani on sám.
Služba podpory VKontakte je iný príbeh. Službu podpory VKontakte môžu kontaktovať iba oprávnení používatelia. To znamená, že ak stratíte prístup na svoju stránku, musíte vytvoriť novú stránku alebo požiadať svojich priateľov, aby poskytli prístup k ich stránkam, aby ste mohli napísať podporu. Alexey korešpondoval so špecialistami podporných služieb zo stránky svojej manželky a to ich neobťažovalo, hoci používateľská zmluva neumožňuje prenos prihlasovacieho mena a hesla na niekoho iného.
Hacknutie stránky a ďalšia strata prístupu k účtu a verejnej stránke zjavne poškodili tak Alexeyho obchodnú reputáciu, ako aj jeho majetkové záujmy. Nehovoriac o tom, že to umožnilo únik značného množstva osobných a komerčných informácií do neznámych destinácií. Podvodníci z podnikateľovho účtu požiadali jeho priateľov, aby im previedli veľké sumy peňazí. Jedna osoba im previedla 34 tisíc rubľov. Útočníci mali prístup k osobným informáciám z Alexeyho účtu XNUMX hodín.
Žaloba proti VKontakte
Alexey Mironov podal žalobu na sociálnu sieť VKontakte na Smolninskom okresnom súde v Petrohrade a teraz čaká na pridelenie prípadu. Žiada súd, aby zaviazal sociálnu sieť k plneniu vlastnej dohody uzatvorenej vo forme Užívateľskej zmluvy a vrátil mu prístup na jeho stránku. K dnešnému dňu administratíva VKontakte naďalej bezdôvodne zbavuje Alexeyho prístupu k jeho účtu, pričom svedomito dodržiaval podmienky používateľskej zmluvy a o hacknutí okamžite informoval službu technickej podpory sociálnej siete. VKontakte odmietol obnoviť svoj prístup na stránku s odvolaním sa na klauzulu v používateľskej zmluve, ktorá zakazuje používateľom prenášať prihlasovacie meno a heslo svojej stránky na tretie strany. Agent podpory VKontakte, s ktorým Alexey hovoril, uviedol, že presmerovanie telefónneho čísla môžete nastaviť iba tak, že navštívite kanceláriu operátora a predložíte svoj pas. V skutočnosti to tak nie je a potvrdil to Roskomnadzor v reakcii na Alexeyho odvolanie.
Sociálna sieť v rozpore s užívateľskou zmluvou bezdôvodne obmedzila Alexeyho prístup k používaniu jeho stránky. Ide o jednostranné odmietnutie plnenia povinností, porušujúce odsek 1 čl. 30 Občianskeho zákonníka Ruskej federácie. Tým, že mu VK odobral prístup k jeho účtu, zbavil Alexeyho aj práva spravovať svoju verejnú stránku, ktorá je pre neho dôležitým nehmotným majetkom. (Písali sme o verejnom trhu ako o novej forme digitálneho vlastníctva a zvláštnostiach uzatvárania transakcií s nimi )
Bezpečnostné diery v identifikačnom systéme MTS
Z korešpondencie, ktorú viedli podvodníci v mene podnikateľa, vyplýva, že vedeli o jeho služobnej a služobnej ceste. Zavolali do kontaktného centra MTS, dokázali sa identifikovať v mene Alexeyho a nastaviť presmerovanie hovorov. Útočníci mohli získať údaje z jeho pasu prostredníctvom sociálneho inžinierstva. Alexey Mironov je zakladateľom franšízy, takže veľa ľudí, ktorí sa podieľajú na otváraní franšízových zariadení, môže mať informácie o jeho pase. MTS vykonala interné vyšetrovanie, ale nedokázala určiť, kto presne nainštaloval preposielanie a ako útočník zachytil SMS. Spoločnosť nepriznala vinu, ale zároveň ponúkla Alexeymu veľmi zvláštnu kompenzáciu - 750 rubľov.
Usúdili sme, že identifikácia predplatiteľa na diaľku iba pomocou správnych osobných údajov je veľmi pochybná prax a napísali sme sťažnosť na Roskomnadzor, aby overili súlad tohto druhu firemného procesu s požiadavkami legislatívy o osobných údajoch. V dôsledku toho sa Roskomnadzor postavil na stranu MTS a poukázal na to, že správa komunikačných služieb po telefóne na diaľku pri poskytovaní správnych osobných údajov je celkom normálna a vytvorenie dodatočných metód ochrany pred týmto druhom neoprávnených akcií je bolesťou hlavy pre samotného účastníka, nie spoločnosť . (prečítať celú odpoveď - )
Hacknutie účtu Alexey Mironova nie je prvým prípadom neoprávneného prístupu k údajom predplatiteľa MTS. V roku 2018 bola databáza 500 tisíc predplatiteľov v Novosibirsku dvaja útočníci, z ktorých jeden bol zamestnancom firmy. Pokúsili sa predať databázu za cenu 1 rubľa za údaje jedného predplatiteľa.
V roku 2016 ich bolo Telegramové účty opozičných aktivistov Georgyho Alburova a Olega Kozlovského. Ich účty boli prepojené s číslami MTS a krátko pred hacknutím bola ich služba SMS deaktivovaná a bolo povolené preposielanie. Neboli zistené ani okolnosti vlámania. V roku 2019 Oleg Kozlovsky podal žalobu na MTS, ale súd ju zamietol.
Za ochranu účtov rôznych webových služieb a aplikácií pred hackovaním zodpovedá samotný používateľ. Tento postoj zdieľajú telekomunikační operátori aj samotný regulátor, podľa ktorého odmietajú zdieľať tieto riziká s vlastnými účastníkmi.
RKN to vo svojej odpovedi opisuje takto:
„... Podľa bodu 2.11 Podmienok MTS majú účastníci od telekomunikačného operátora na účely identifikácie možnosť použiť Kódové slovo - sekvenciu symbolov (písmená, čísla) špecifikovaných účastníkom vo forme stanovenej Prevádzkovateľa, ktorý slúži na identifikáciu Účastníka pri uzatváraní Zmluvy. Účastník má možnosť nastaviť si kódové slovo tak pri uzatváraní zmluvy (v tomto prípade sa zadáva do formulára zmluvy spolu s povinnými údajmi), ako aj kedykoľvek počas realizácie zmluvy. Napriek tomu predplatiteľ Mironov A.K. kódové slovo nebolo nastavené pred sporným pripojením služby. Za takýchto okolností len účastník mohol tým, že si pri identifikácii s telekomunikačným operátorom stanovil kódové slovo, neutralizovať riziko nepriaznivých dôsledkov takýchto situácií, ale túto možnosť nevyužil.“
Obnovenie účtu. Nemožná misia
Sťažnosť na nečinnosť Roskomnadzoru už bola podaná na prokuratúru. Polícia zatiaľ o oznámení o trestnom čine naďalej mlčí. O výsledkoch vyšetrovania nikto nič nehlási ani vo vnútri firmy. MTS žiadnu vinu nepripúšťa. Nikoho to nezaujíma. Zároveň VKontakte naďalej odmieta vlastníkovi účtu obnoviť prístup k nemu, kým od polície neprinesie uznesenie o začatí trestného konania, ktorým sa zisťujú uvedené skutočnosti, a list od MTS, ktorý potvrdí, že služba presmerovania je napadnuteľná. V liste s pomerne rozsiahlymi vysvetleniami je aj požiadavka, že Mironov musí poskytnúť aj potvrdenie od MTS, že je jediným (a akým, niekde operátori registrujú spoločné vlastníctvo telefónnych čísel?) používateľom telefónneho čísla, ktoré bolo prepojené s strana. Odpoveď prišla koncom minulého týždňa a vzhľadom na patovú situáciu a nemožnosť dohodnúť sa s VKontakte už šesť mesiacov, sme sa obrátili na súd.
Ako sa chrániť pred hackovaním
Útočníci môžu získať prístup k správe telefónneho čísla aj cez ďalšie zraniteľnosti – protokol SS7 alebo získanie duplicitnej SIM karty s pomocou bezohľadných zamestnancov operátora.
SS7 je technický protokol používaný telekomunikačnými operátormi. Obsahuje starý a zjavne neodstrániteľný , ktorý vám umožňuje zachytiť údaje prenášané účastníkmi počas hovoru alebo prostredníctvom SMS. Prístup k SS7 majú iba operátori, no útočníci ho môžu získať zakúpením prístupu na darknete od operátorov v nerozvinutých krajinách alebo cez bezohľadných zamestnancov mobilných operátorov. K útoku dochádza, keď útočník zmení adresu fakturačného systému účastníka na svoju vlastnú adresu. Útočníci najčastejšie informujú systém, že účastník je v medzinárodnom roamingu, takže najjednoduchší spôsob, ako sa chrániť, je zakázať medzinárodný roaming, ak ho nepoužívate.
Alexey Mironov ešte nemal pre Vkontakte nakonfigurovaný dvojfaktorový autentifikačný systém. Táto funkcia vo VK v júni 2014. Možno by mohla ochrániť jeho účet pred napadnutím. Je potrebné pripomenúť, že jednoduché prepojenie účtu s telefónnym číslom nie je dvojfaktorové overenie. — ide o ochranu prihlásenia do účtu, keď sa okrem hesla vykoná aj iná akcia. Najbežnejšou možnosťou je SMS kód. Táto metóda nie je najspoľahlivejšia, keďže útočníci môžu SMS správu zachytiť. Bezpečnejšími možnosťami sú súbor kľúčov, dočasné kódy, mobilná aplikácia a hardvérový token.
Žiaľ, sme nútení žiť v dobe, kedy sa zabezpečenie bezpečnosti údajov stáva naším vlastným problémom. Dúfajú, že operátori budú nezávisle niesť zodpovednosť v prípade hacknutia, ale zjavne to tak nie je. Rovnako ako spoliehanie sa na Roskomnadzor, ktorý je vo svojich postupoch ochrany údajov už dávno oddelený od reality. Prelomiť pancier „odmietacieho materiálu“ miestneho policajta, ktorý dostane vašu žiadosť v podobnom prípade, je neuveriteľne ťažké, najmä pre bežného človeka, ktorý nevie, ako tento systém funguje. Čo zostáva? Nezabúdajte na digitálnu hygienu, dôverujte matematike a obhajujte svoje práva na súde.
Zdroj: hab.com