Goljufi so ukradli stran VKontakte podjetnika Alekseja Mironova zaradi ranljivosti v sistemu identifikacije strank MTS. Družbeno omrežje ga nikoli ni vrnilo lastniku in od njega zahteva nemogoče. Zdaj toži VKontakte zaradi tega. Zastopa ga Center za digitalne pravice.
Aleksej Mironov je ustanovitelj verige kavarn Jeffrey's Coffee. To je franšiza kavarn v Moskvi in regijah. Alexey je pogosto komuniciral s kolegi in partnerji na VKontakte in vzdrževal zelo priljubljeno javno stran za svoje tamkajšnje omrežje, ki šteje več kot 50 naročnikov.
Novembra 2018, zgodaj zjutraj, ko je bil Alexey na službenem potovanju na Kitajskem, so vdrli v njegovo stran VKontakte. Prejel je SMS od VKontakte, WhatsApp in sporočilo operaterja MTS, v katerem je pisalo, da je nastavljeno posredovanje na drugo številko. Alexey ni nastavil posredovanja, zato ga je takoj zaskrbelo in poklical MTS. Sploh niso takoj ugotovili, da res gre za preusmeritev. Operaterju ga je uspelo izklopiti šele dve uri po Aleksejevem klicu. MTS nikoli ni našel podatkov o tem, kako in kdaj je bilo aktivirano posredovanje.
Alexey je preveril dostop do družbenih omrežij in hitrih sporočil ter videl, da se vanje ne more več prijaviti s svojo telefonsko številko. Hekerji so z njegovimi računi povezali še eno številko. S WhatsAppom je bila težava hitro rešena. Messenger je takoj po preklicu posredovanja vrnil dostop do računa zakonitemu lastniku.
Aleksej je pisal podpori VKontakte in prosil za vrnitev strani ter poslal fotografijo svojega potnega lista. Zvečer je prejel SMS, da je vloga zavrnjena, saj je trenutni lastnik potrdil pravico do dostopa.
Strokovnjak za tehnično podporo je izjavil, da lahko Alexey prostovoljno prenese dostop do svoje strani tretjim osebam, zato mu ne bodo obnovili dostopa. Alexey je pojasnil situacijo vdora, vendar so ga prosili, naj pošlje potrditveno pismo MTS, v katerem bi operater potrdil, da je prišlo do vdora. Aleksej je posredoval pismo MTS. Po tem je uprava VKontakte zahtevala, da to pismo potrdi policija. To zahtevo je zelo težko izpolniti, saj overitev pisem in poverilnic podpisnikov ni naloga policije. Alexey je lahko blokiral vdrto stran le tako, da je osebno vprašal zaposlene VKontakte, da ve za to. Stran še ni bila vrnjena. Edino, kar je Alexey dosegel, je bila blokada njegovega računa. Zdaj ga ne morejo uporabiti niti prevaranti niti on sam.
Storitev podpore VKontakte je druga zgodba. Samo pooblaščeni uporabniki se lahko obrnejo na službo za podporo VKontakte. To pomeni, da če izgubite dostop do svoje strani, morate ustvariti novo ali prositi svoje prijatelje, da omogočijo dostop do svojih strani, da lahko pišete v podporo. Alexey si je dopisoval s strokovnjaki za podporo s strani svoje žene in to jih ni motilo, čeprav uporabniška pogodba ne dovoljuje prenosa prijave in gesla na nekoga drugega.
Vdor v stran in nadaljnja izguba dostopa do računa in javne strani je očitno škodila tako Aleksejevemu poslovnemu ugledu kot njegovim lastninskim interesom. Da ne omenjam, da je to omogočilo, da je znatna količina osebnih in komercialnih informacij odtekla neznano kam. Prevaranti s podjetnikovega računa so njegove prijatelje prosili, naj jim nakažejo velike vsote denarja. Ena oseba jim je nakazala 34 tisoč rubljev. Napadalci so imeli XNUMX ur dostop do osebnih podatkov iz Aleksejevega računa.
Tožba proti VKontakte
Alexey Mironov je vložil tožbo proti družbenemu omrežju VKontakte na okrožnem sodišču Smolninsky v Sankt Peterburgu in zdaj čaka na dodelitev zadeve. Od sodišča zahteva, da družbeno omrežje obveže, da izpolni lastno pogodbo, sklenjeno v obliki uporabniške pogodbe, in mu vrne dostop do njegove strani. Do danes uprava VKontakte še naprej nerazumno odvzema dostop Alexeyu do njegovega računa, medtem ko je vestno izpolnjeval pogoje uporabniške pogodbe in o vdoru takoj obvestil službo za tehnično podporo družbenega omrežja. VKontakte mu ni hotel obnoviti dostopa do strani, pri čemer se je skliceval na klavzulo v uporabniški pogodbi, ki uporabnikom prepoveduje prenos uporabniškega imena in gesla tretjim osebam. Agent za podporo VKontakte, s katerim je Aleksej govoril, je izjavil, da lahko nastavite posredovanje telefonske številke samo tako, da obiščete pisarno operaterja in predložite potni list. V resnici ni tako in to je Roskomnadzor potrdil kot odgovor na Aleksejevo pritožbo.
Socialno omrežje je v nasprotju z uporabniško pogodbo neutemeljeno omejilo Aleksejev dostop do uporabe njegove strani. To je enostranska zavrnitev izpolnitve obveznosti, ki krši 1. odstavek čl. 30 Civilnega zakonika Ruske federacije. Z odvzemom dostopa do njegovega računa je VK Alekseju odvzel tudi pravice do upravljanja njegove javne strani, ki je zanj pomembno neopredmeteno premoženje. (Pisali smo o javnih trgih kot novi obliki digitalne lastnine in posebnostih sklepanja poslov z njimi )
Varnostne luknje v identifikacijskem sistemu MTS
Korespondenca, ki so jo prevaranti vodili v imenu podjetnika, kaže, da so vedeli za njegov posel in službeno potovanje. Poklicali so kontaktni center MTS, se lahko identificirali v imenu Alexey in nastavili preusmeritev klicev. Napadalci bi lahko podatke o njegovem potnem listu pridobili s socialnim inženiringom. Alexey Mironov je ustanovitelj franšize, zato bi lahko veliko ljudi, ki sodelujejo pri odpiranju franšiznih obratov, imelo podatke o njegovem potnem listu. MTS je opravil interno preiskavo, a ni mogel ugotoviti, kdo točno je namestil posredovanje in kako je napadalec prestregel SMS. Podjetje ni priznalo krivde, hkrati pa je Alekseju ponudilo zelo čudno odškodnino - 750 rubljev.
Menili smo, da je identifikacija naročnika na daljavo samo s pravilnimi osebnimi podatki zelo dvomljiva praksa in smo napisali pritožbo Roskomnadzorju, da bi preverili skladnost tovrstnega postopka podjetja z zahtevami zakonodaje o osebnih podatkih. Posledično je Roskomnadzor stopil na stran MTS in poudaril, da je upravljanje komunikacijskih storitev po identifikaciji na daljavo po telefonu ob zagotavljanju pravilnih osebnih podatkov povsem normalno, vzpostavitev dodatnih metod zaščite pred tovrstnimi nepooblaščenimi dejanji pa je glavobol za samega naročnika, ne podjetje. (preberi celoten odgovor - )
Vdor v račun Alekseja Mironova ni prvi primer nepooblaščenega dostopa do naročniških podatkov MTS. Leta 2018 je baza podatkov 500 tisoč naročnikov v Novosibirsku dva napadalca, od katerih je bil eden uslužbenec podjetja. Bazo podatkov so poskušali prodati po ceni 1 rubelj za podatke enega naročnika.
Leta 2016 jih je bilo Telegram računi opozicijskih aktivistov Georgija Alburova in Olega Kozlovskega. Njihovi računi so bili povezani s številkami MTS, malo pred vdorom pa so jim onemogočili storitev SMS in omogočili posredovanje. Tudi okoliščine vloma niso bile ugotovljene. Leta 2019 je Oleg Kozlovsky vložil tožbo proti MTS, a jo je sodišče zavrnilo.
Za zaščito računov različnih spletnih storitev in aplikacij pred vdori je odgovoren uporabnik sam. To stališče delijo tako telekomunikacijski operaterji kot sam regulator, po katerem nočejo deliti teh tveganj z lastnimi naročniki.
RKN v svojem odgovoru to opisuje takole:
»... V skladu s členom 2.11 pogojev MTS imajo naročniki telekomunikacijskega operaterja za namene identifikacije možnost uporabe kodne besede - zaporedja simbolov (črk, številk), ki jih določi naročnik v obliki, ki jo določi upravljavca, ki služi za identifikacijo naročnika pri sklepanju pogodbe. Naročnik ima možnost določiti kodno besedo tako ob sklenitvi pogodbe (v tem primeru se vpiše v obrazec pogodbe skupaj z obveznimi podatki) kot kadarkoli med sklenitvijo pogodbe. Kljub temu je naročnik Mironov A.K. kodna beseda ni bila nastavljena pred sporno povezavo storitve. V takšnih okoliščinah bi le naročnik z vzpostavitvijo kodne besede pri identifikaciji pri telekomunikacijskem operaterju lahko nevtraliziral tveganje za nastanek negativnih posledic takšnih situacij, vendar te priložnosti ni izkoristil.”
Obnovitev računa. Misija nemogoče
Pritožba zaradi neukrepanja Roskomnadzorja je bila že vložena pri tožilstvu. Policija se medtem o prijavi kaznivega dejanja še naprej molči. Tudi znotraj podjetja o rezultatih preiskave nihče ne poroča ničesar. MTS krivde ne priznava. Nikomur ni mar. Hkrati VKontakte lastniku računa še naprej zavrača obnovitev dostopa do njega, dokler od policije ne prinese sklepa o uvedbi kazenske zadeve, ki ugotavlja določena dejstva, in dopisa MTS, ki bo potrdil, da je storitev preusmeritve izpodbojna. V dopisu z dokaj obširnimi pojasnili je tudi zahteva, da mora Mironov predložiti tudi potrdilo MTS, da je edini (in kaj, nekje operaterji registrirajo solastništvo telefonskih številk?) uporabnik telefonske številke, ki je bila povezana z strani. Odgovor je prišel konec prejšnjega tedna in glede na zastoj situacije in nezmožnost dogovora z VKontakte že šest mesecev smo šli na sodišče.
Kako se zaščititi pred vdori
Napadalci lahko pridobijo dostop do upravljanja telefonske številke tudi z drugimi ranljivostmi - protokolom SS7 ali pridobitvijo dvojnika SIM kartice s pomočjo brezvestnih zaposlenih v operaterju.
SS7 je tehnični protokol, ki ga uporabljajo telekomunikacijski operaterji. Vsebuje staro in očitno neodstranljivo , ki omogoča prestrezanje podatkov, ki jih posredujejo naročniki med klicem ali prek SMS-a. Dostop do SS7 imajo le operaterji, napadalci pa ga lahko pridobijo tako, da dostop na temnem omrežju kupijo od operaterjev v nerazvitih državah ali prek brezvestnih zaposlenih pri mobilnih operaterjih. Do napada pride, ko napadalec spremeni naslov obračunskega sistema naročnika v svoj naslov. Najpogosteje napadalci sistemu sporočijo, da je naročnik v mednarodnem gostovanju, zato se najlažje zaščitite tako, da onemogočite mednarodno gostovanje, če ga ne uporabljate.
Alexey Mironov še ni imel konfiguriranega sistema dvofaktorske avtentikacije za Vkontakte. Ta funkcija v VK junija 2014. Morda bi lahko zaščitila njegov račun pred vdorom. Ne smemo pozabiti, da preprosto povezovanje računa s telefonsko številko ni dvostopenjska avtentikacija. — to je zaščita prijave v račun, ko je poleg gesla izvedeno še eno dejanje. Najpogostejša možnost je SMS koda. Ta metoda ni najbolj zanesljiva, saj lahko napadalci prestrežejo SMS sporočilo. Varnejše možnosti so ključna datoteka, začasne kode, mobilna aplikacija in strojni žeton.
Na žalost smo prisiljeni živeti v dobi, ko zagotavljanje varnosti podatkov postane naš problem. Upajo, da bodo operaterji samostojno nosili odgovornost v primeru vdora, a očitno ni tako. Kot tudi zanašanje na Roskomnadzor, ki je v svojih praksah varstva podatkov že dolgo ločen od realnosti. Neverjetno težko je prebiti oklep »zavrnitvenega materiala« lokalnega policista, ki bo prejel vašo prijavo v podobnem primeru, še posebej za navadnega človeka, ki ne ve, kako ta sistem deluje. Kaj ostane? Ne pozabite na digitalno higieno, zaupajte matematiki in branite svoje pravice na sodišču.
Vir: www.habr.com