Mashtruesit vodhën faqen VKontakte të sipërmarrësit Alexey Mironov për shkak të një cenueshmërie në sistemin e identifikimit të klientit MTS. Rrjeti social nuk ia ka kthyer asnjëherë pronarit dhe kërkon prej tij të pamundurën. Tani ai po padit VKontakte për këtë. Ai përfaqësohet nga Qendra për të Drejtat Dixhitale.
Alexey Mironov është themeluesi i zinxhirit Jeffrey's Coffee. Ky është një ekskluzivitet i kafeneve në Moskë dhe rajone. Alexey shpesh komunikonte me kolegët dhe partnerët në VKontakte dhe mbante një faqe publike shumë të njohur për rrjetin e tij atje, duke numëruar më shumë se 50 pajtimtarë.
Në nëntor 2018, herët në mëngjes, kur Alexey ishte në një udhëtim pune në Kinë, faqja e tij VKontakte u hakerua. Ai mori SMS nga VKontakte, WhatsApp dhe një mesazh nga operatori MTS, i cili thoshte se ishte vendosur përcjellja në një numër tjetër. Alexey nuk vendosi përcjelljen, kështu që ai menjëherë u shqetësua dhe thirri MTS. Ata as nuk përcaktuan menjëherë se kishte vërtet një ridrejtim. Operatori ishte në gjendje ta fikte vetëm dy orë pas thirrjes së Alexey. MTS nuk gjeti kurrë të dhëna se si dhe kur u aktivizua përcjellja.
Alexey kontrolloi hyrjen në rrjetet sociale dhe mesazhet e çastit dhe pa që nuk mund të hynte më në to duke përdorur numrin e tij të telefonit. Hakerët lidhën një numër tjetër me llogaritë e tij. Me WhatsApp çështja u zgjidh shpejt. Menjëherë pas anulimit të dërgimit, mesazheri riktheu aksesin në llogari te pronari i ligjshëm.
Alexey i shkroi mbështetjes së VKontakte duke kërkuar të kthente faqen dhe dërgoi një foto të pasaportës së tij. Në mbrëmje ai mori një SMS që aplikacioni ishte refuzuar, pasi pronari aktual konfirmoi të drejtën e aksesit.
Një specialist i mbështetjes teknike deklaroi se Alexey mund të transferonte vullnetarisht aksesin në faqen e tij te palët e treta, kështu që ata nuk do të rivendosin aksesin e tij. Alexey shpjegoi situatën e hakerimit, por atij iu kërkua të dërgonte një letër konfirmimi nga MTS, në të cilën operatori do të konfirmonte se kishte ndodhur një haker. Alexey dha një letër nga MTS. Pas kësaj, administrata VKontakte kërkoi që kjo letër të vërtetohej nga policia. Kjo kërkesë është shumë e vështirë për t'u përmbushur sepse nuk është funksioni i policisë të vërtetojë letrat dhe kredencialet e nënshkruesit. Alexey ishte në gjendje të bllokonte faqen e hakuar vetëm duke pyetur personalisht punonjësit e VKontakte që ai dinte për të. Faqja nuk është kthyer ende. E vetmja gjë që arriti Alexey ishte bllokimi i llogarisë së tij. Tani as mashtruesit dhe as ai vetë nuk mund ta përdorin atë.
Shërbimi mbështetës VKontakte është një histori tjetër. Vetëm përdoruesit e autorizuar mund të kontaktojnë shërbimin e mbështetjes VKontakte. Kjo do të thotë që nëse humbni aksesin në faqen tuaj, duhet të krijoni një të re ose t'u kërkoni miqve tuaj të japin akses në faqet e tyre në mënyrë që të shkruajnë në mbështetje. Alexey korrespondonte me specialistë të shërbimit mbështetës nga faqja e gruas së tij, dhe kjo nuk i shqetësoi ata, megjithëse Marrëveshja e Përdoruesit nuk lejon transferimin e hyrjes dhe fjalëkalimit te dikush tjetër.
Thyerja e faqes dhe humbja e mëtejshme e aksesit në llogarinë dhe faqen publike padyshim që dëmtoi reputacionin e biznesit të Alexey dhe interesat e tij pronësore. Për të mos përmendur që kjo lejoi që një sasi e konsiderueshme informacioni personal dhe komercial të rrjedhë në destinacione të panjohura. Mashtruesit nga llogaria e biznesmenit u kërkuan miqve të tij t'u transferonin shuma të mëdha parash. Një person u transferoi atyre 34 mijë rubla. Sulmuesit kishin akses në informacionin personal nga llogaria e Alexey për XNUMX orë.
Padi kundër VKontakte
Alexey Mironov ngriti një padi kundër rrjetit social VKontakte në Gjykatën e Qarkut Smolninsky të Shën Petersburgut dhe tani është në pritje të caktimit të çështjes. Ai i kërkon gjykatës që të detyrojë rrjetin social të përmbushë marrëveshjen e tij, të lidhur në formën e një Marrëveshjeje Përdoruesi, dhe t'i kthejë atij aksesin në faqen e tij. Deri më sot, administrata VKontakte vazhdon të privojë Alexey nga aksesi në llogarinë e tij në mënyrë të paarsyeshme, ndërsa ai respektoi me ndërgjegje kushtet e Marrëveshjes së Përdoruesit dhe menjëherë informoi shërbimin e mbështetjes teknike të rrjetit social për hakimin. VKontakte refuzoi të rivendoste aksesin e tij në faqe, duke përmendur një klauzolë në Marrëveshjen e Përdoruesit që ndalon përdoruesit të transferojnë hyrjen dhe fjalëkalimin e faqes së tyre te palët e treta. Agjenti mbështetës i VKontakte me të cilin foli Alexey deklaroi se mund të vendosni përcjelljen e numrit të telefonit vetëm duke vizituar zyrën e operatorit dhe duke paraqitur pasaportën tuaj. Në fakt, ky nuk është rasti, dhe kjo u konfirmua nga Roskomnadzor në përgjigje të apelit të Alexey.
Rrjeti social, duke shkelur Marrëveshjen e Përdoruesit, kufizoi në mënyrë të paarsyeshme aksesin e Alexey në përdorimin e faqes së tij. Ky është një refuzim i njëanshëm për të përmbushur detyrimet, duke shkelur paragrafin 1 të Artit. 30 Kodi Civil i Federatës Ruse. Duke e privuar atë nga aksesi në llogarinë e tij, VK gjithashtu i privoi Alexey të drejtat për të administruar faqen e tij publike, e cila është një pasuri e rëndësishme jo-materiale për të. (Ne kemi shkruar për tregun publik si një formë e re e pronës dixhitale dhe veçoritë e përfundimit të transaksioneve me to )
Vrimat e sigurisë në sistemin e identifikimit MTS
Nga korrespodenca e kryer nga mashtruesit për llogari të sipërmarrësit rezulton se ata kanë ditur për udhëtimin e tij të biznesit dhe të punës. Ata thirrën qendrën e kontaktit MTS, ishin në gjendje të identifikonin veten në emër të Alexey dhe të vendosnin përcjelljen e thirrjeve. Sulmuesit mund të merrnin të dhënat e pasaportës së tij përmes inxhinierisë sociale. Alexey Mironov është themeluesi i ekskluzivitetit, kështu që shumë njerëz të përfshirë në hapjen e qendrave të ekskluzivitetit mund të kenë informacionin e pasaportës së tij. MTS kreu një hetim të brendshëm, por nuk ishte në gjendje të përcaktojë se kush e instaloi saktësisht përcjelljen dhe si sulmuesi përgjoi SMS-në. Kompania nuk e pranoi fajin, por në të njëjtën kohë i ofroi Alexey një kompensim shumë të çuditshëm - 750 rubla.
Ne konsideruam se identifikimi i një pajtimtari nga distanca vetëm duke përdorur të dhëna të sakta personale është një praktikë shumë e dyshimtë dhe i shkruam një ankesë Roskomnadzor për të verifikuar përputhjen e këtij lloji të procesit të kompanisë me kërkesat e legjislacionit për të dhënat personale. Si rezultat, Roskomnadzor u mbajt në anën e MTS, duke vënë në dukje se menaxhimi i shërbimeve të komunikimit pas identifikimit në distancë me telefon duke siguruar të dhëna të sakta personale është mjaft normale, dhe vendosja e metodave shtesë të mbrojtjes kundër këtij lloj veprimesh të paautorizuara është një dhimbje koke për vetë pajtimtarin, jo kompania . (lexo përgjigjen e plotë - )
Hakimi i llogarisë së Alexey Mironov nuk është rasti i parë i aksesit të paautorizuar në të dhënat e pajtimtarëve MTS. Në vitin 2018, baza e të dhënave prej 500 mijë abonentësh në Novosibirsk dy sulmues, njëri prej të cilëve ishte punonjës i kompanisë. Ata u përpoqën të shesin bazën e të dhënave me një çmim prej 1 rubla për të dhënat e një pajtimtari.
Në vitin 2016 ka pasur Llogaritë në telegram të aktivistëve të opozitës Georgy Alburov dhe Oleg Kozlovsky. Llogaritë e tyre ishin të lidhura me numrat e MTS dhe pak para hakimit, shërbimi i tyre SMS u çaktivizua dhe u aktivizua përcjellja. Nuk u vërtetuan gjithashtu rrethanat e vjedhjes. Në vitin 2019, Oleg Kozlovsky ngriti një padi kundër MTS, por gjykata e refuzoi atë.
Mbrojtja e llogarive të shërbimeve të ndryshme të internetit dhe aplikacioneve nga hakerimi është përgjegjësi e vetë përdoruesit. Këtë pozicion e ndajnë si operatorët e telekomit ashtu edhe vetë rregullatori, sipas të cilit ata refuzojnë t'i ndajnë këto rreziqe me abonentët e tyre.
RKN e përshkruan në këtë mënyrë në përgjigjen e saj:
"... Sipas pikës 2.11 të kushteve të MTS, për qëllime identifikimi, pajtimtarëve nga operatori i telekomit u jepet mundësia të përdorin një Fjalë kodi - një sekuencë simbolesh (shkronja, numra) të specifikuara nga Pajtimtari në formën e përcaktuar nga Operatori, i cili shërben për identifikimin e Pajtimtarit gjatë ekzekutimit të Marrëveshjes. Pajtimtari ka mundësinë të vendosë një fjalë kodi si gjatë lidhjes së një marrëveshjeje (në këtë rast ai futet në formularin e marrëveshjes së bashku me detajet e detyrueshme) ashtu edhe në çdo kohë gjatë ekzekutimit të marrëveshjes. Përkundër kësaj, pajtimtari Mironov A.K. kodi nuk ishte vendosur përpara lidhjes së diskutueshme të shërbimit. Në rrethana të tilla, vetëm abonenti, duke vendosur një fjalë kodi gjatë identifikimit me operatorin e telekomit, mund të neutralizonte rrezikun e pasojave negative nga situata të tilla, por nuk e shfrytëzoi këtë mundësi.”
Rikuperimi i llogarisë. Mision i pamundur
Një ankesë për mosveprimin e Roskomnadzor tashmë është paraqitur në zyrën e prokurorit. Ndërkohë policia vijon të hesht për kallëzimin e krimit. Askush nuk raporton asgjë brenda kompanisë për rezultatet e hetimit. MTS nuk pranon asnjë faj. Askujt nuk i intereson. Në të njëjtën kohë, VKontakte vazhdon të refuzojë pronarin e llogarisë për të rivendosur aksesin në të derisa ai të sjellë nga policia një Rezolutë për fillimin e një çështje penale që përcakton faktet e specifikuara dhe një letër nga MTS, e cila do të konfirmojë që shërbimi i ridrejtimit është i kontestueshëm. Në letrën me shpjegime mjaft të gjera, ekziston gjithashtu një kërkesë që Mironov duhet të sigurojë gjithashtu një certifikatë nga MTS se ai është i vetmi (dhe çfarë, diku operatorët regjistrojnë pronësinë e përbashkët të numrave të telefonit?) përdoruesi i numrit të telefonit me të cilin ishte lidhur. Faqja. Përgjigja mbërriti në fund të javës së kaluar dhe duke pasur parasysh bllokimin e situatës dhe pamundësinë e arritjes së një marrëveshjeje me VKontakte për gjashtë muaj tashmë, shkuam në gjykatë.
Si të mbroheni nga hakerimi
Sulmuesit gjithashtu mund të kenë akses në menaxhimin e një numri telefoni përmes dobësive të tjera - protokollit SS7 ose marrjes së një karte SIM të kopjuar me ndihmën e punonjësve të paskrupullt të operatorit.
SS7 është një protokoll teknik i përdorur nga operatorët e telekomit. Ai përmban një të vjetër dhe në dukje të pa lëvizshme , i cili ju lejon të përgjoni të dhënat e transmetuara nga abonentët gjatë një telefonate ose përmes SMS. Vetëm operatorët kanë akses në SS7, por sulmuesit mund ta marrin atë duke blerë akses në rrjetin e errët nga operatorë në vendet e pazhvilluara ose përmes punonjësve të paskrupullt të operatorëve celularë. Një sulm ndodh kur një sulmues ndryshon adresën e sistemit të faturimit të pajtimtarit në adresën e tij. Më shpesh, sulmuesit informojnë sistemin se pajtimtari është në roaming ndërkombëtar, kështu që mënyra më e lehtë për t'u mbrojtur është të çaktivizoni roamingun ndërkombëtar nëse nuk e përdorni atë.
Alexey Mironov nuk kishte ende një sistem vërtetimi me dy faktorë të konfiguruar për Vkontakte. Ky funksion në VK në qershor 2014. Ndoshta ajo mund ta mbronte llogarinë e tij nga hakerimi. Vlen të kujtohet se thjesht lidhja e një llogarie me një numër telefoni nuk është vërtetim me dy faktorë. — kjo është mbrojtja e hyrjes në një llogari kur, përveç fjalëkalimit, kryhet një veprim tjetër. Opsioni më i zakonshëm është një kod SMS. Kjo metodë nuk është më e besueshme, pasi sulmuesit mund të përgjojnë mesazhin SMS. Opsionet më të sigurta janë një skedar kyç, kode të përkohshme, një aplikacion celular dhe një token harduer.
Fatkeqësisht, ne jemi të detyruar të jetojmë në një epokë ku sigurimi i sigurisë së të dhënave bëhet problemi ynë. Ata shpresojnë se operatorët do të mbajnë përgjegjësi në mënyrë të pavarur në rast të një hakimi, por me sa duket nuk është kështu. Si dhe duke u mbështetur në Roskomnadzor, i cili prej kohësh është ndarë nga realiteti në praktikat e tij të mbrojtjes së të dhënave. Është tepër e vështirë të thyesh armaturën e "materialit të refuzimit" të oficerit të policisë lokale që do të marrë aplikimin tënd në një rast të ngjashëm, veçanërisht për një person të zakonshëm që nuk e di se si funksionon ky sistem. Çfarë mbetet? Mos harroni për higjienën dixhitale, besoni matematikës dhe mbroni të drejtat tuaja në gjykatë.
Burimi: www.habr.com