Penipu maok halaman VKontakte pangusaha Alexey Mironov kusabab kerentanan dina sistem idéntifikasi palanggan MTS. Jaringan sosial henteu kantos ngabalikeun deui ka anu gaduhna sareng nungtut anu teu mungkin ti anjeunna. Ayeuna anjeunna ngagugat VKontakte pikeun ieu. Anjeunna diwakilan ku Pusat Hak Digital.
Alexey Mironov nyaéta pangadeg ranté Kopi Jeffrey. Ieu franchise warung kopi di Moscow jeung wewengkon. Alexey sering komunikasi sareng kolega sareng mitra dina VKontakte sareng ngajaga halaman umum anu populer pikeun jaringanna di dinya, jumlahna langkung ti 50 palanggan.
Dina bulan Nopémber 2018, isuk-isuk, nalika Alexey nuju perjalanan bisnis di Cina, halaman VKontakte na diretas. Anjeunna nampi SMS ti VKontakte, WhatsApp sareng pesen ti operator MTS, anu nyarios yén diteruskeun ka nomer anu sanés parantos diatur. Aleksey teu nyetél diteruskeun, jadi manéhna langsung jadi hariwang jeung nelepon MTS. Aranjeunna malah henteu langsung nangtukeun yén memang aya alihan. Operator éta ngan ukur tiasa mareuman dua jam saatos telepon Alexey. MTS henteu kantos mendakan data ngeunaan kumaha sareng iraha diteruskeun diaktipkeun.
Alexey pariksa aksés ka jaringan sosial sareng utusan instan sareng ningali yén anjeunna henteu tiasa lebet deui nganggo nomer teleponna. Peretas ngahubungkeun nomer sanés kana rekeningna. Kalayan WhatsApp masalah ieu direngsekeun gancang. Langsung saatos ngabatalkeun diteruskeun, utusan malikkeun aksés ka akun ka anu gaduh sah.
Alexey wrote ka rojongan VKontakte nanya ka balik kaca sarta dikirim poto paspor na. Sore anjeunna nampi SMS yén aplikasina ditolak, sabab pamilik ayeuna mastikeun hak aksés.
Spesialis dukungan téknis nyatakeun yén Alexey tiasa sacara sukarela nransferkeun aksés ka halamanna ka pihak katilu, ku kituna aranjeunna moal mulangkeun aksésna. Alexey ngajelaskeun kaayaan Hacking, tapi anjeunna dipenta pikeun ngirim surat konfirmasi ti MTS, nu operator bakal mastikeun yén hack geus lumangsung. Alexey nyadiakeun surat ti MTS. Saatos ieu, administrasi VKontakte nungtut yén surat ieu disertipikasi ku pulisi. Sarat ieu hésé pisan dicumponan sabab lain fungsi pulisi pikeun ngasertipikasi surat-surat jeung surat-surat tanda tangan. Alexey tiasa meungpeuk halaman anu diretas ngan ku naroskeun ka karyawan VKontakte anu anjeunna terang ngeunaan éta. Kacana teu acan dipulangkeun. Hiji-hijina hal anu dihontal Alexey nyaéta ngablokir akun na. Ayeuna sanés scammers atanapi anjeunna nyalira tiasa nganggo éta.
Ladenan dukungan VKontakte mangrupikeun carita anu béda. Ngan pamaké otorisasi bisa ngahubungan ladenan rojongan VKontakte. Ieu ngandung harti yén lamun leungit aksés ka kaca anjeun, anjeun kudu nyieun nu anyar atawa ménta babaturan anjeun pikeun masihan aksés ka kaca maranéhanana guna nulis dina rojongan. Alexey pakait sareng spesialis jasa rojongan ti kaca pamajikanana, sarta ieu teu ganggu aranjeunna, sanajan pasatujuan pamaké teu ngidinan mindahkeun login sarta sandi ka batur.
Peretasan halaman sareng leungitna aksés salajengna kana akun sareng halaman umum écés ngarusak reputasi bisnis Alexey sareng kapentingan hartana. Henteu disebatkeun yén ieu ngamungkinkeun sajumlah inpormasi pribadi sareng komérsial bocor ka tujuan anu teu dipikanyaho. Penipu tina akun pangusaha naroskeun ka babaturanana pikeun nransferkeun artos anu ageung. Hiji jalma ditransfer aranjeunna 34 sarébu rubles. Para panyerang ngagaduhan aksés kana inpormasi pribadi tina akun Alexey salami XNUMX jam.
Gugatan ngalawan VKontakte
Alexey Mironov Filed gugatan a ngalawan jaringan sosial VKontakte di Smolninsky District Pangadilan St Petersburg sarta ayeuna awaiting ngerjakeun kasus. Anjeunna miwarang pangadilan pikeun oblige jaringan sosial pikeun minuhan perjangjian sorangan, menyimpulkan dina bentuk pasatujuan pamaké, sarta balik anjeunna aksés ka kaca-Na. Nepi ka poé ieu, administrasi VKontakte terus nyabut Alexey tina aksés ka akun na unreasonably, bari conscientiously sasuai jeung kaayaan pasatujuan pamaké sarta geuwat informed ladenan rojongan teknis ti jaringan sosial ngeunaan hack. VKontakte nampik mulangkeun aksés na ka kaca, citing klausa dina pasatujuan pamaké nu prohibits pamaké mindahkeun login kaca maranéhanana sarta sandi ka pihak katilu. Agén pangrojong VKontakte sareng saha Alexey nyarios yén anjeun tiasa nyetél nomer telepon ngan ukur ku ngadatangan kantor operator sareng nampilkeun paspor anjeun. Nyatana, ieu sanés masalahna, sareng ieu dikonfirmasi ku Roskomnadzor pikeun ngaréspon banding Alexey.
Jaringan sosial, dina palanggaran pasatujuan pamaké, unreasonably ngawatesan aksés Alexey kana pamakéan kaca na. Ieu panolakan sapihak pikeun minuhan kawajiban, ngalanggar ayat 1 Art. 30 Kode Sipil Féderasi Rusia. Ku nyabut aksés ka akunna, VK ogé ngaleungitkeun hak Alexey pikeun ngatur halaman umumna, anu mangrupikeun aset intangible anu penting pikeun anjeunna. (Kami nyerat ngeunaan pasar umum salaku bentuk anyar harta digital sareng ciri-ciri nyimpulkeun transaksi sareng aranjeunna. )
liang kaamanan dina sistem idéntifikasi MTS
Susuratan anu dilakukeun ku scammers atas nama pengusaha nunjukkeun yén aranjeunna terang ngeunaan perjalanan bisnis sareng bisnisna. Aranjeunna disebut puseur kontak MTS, éta bisa ngaidentipikasi diri atas nama Alexey sarta nyetél panggero diteruskeun. Penyerang bisa meunangkeun data paspor na ngaliwatan rékayasa sosial. Alexey Mironov nyaéta pangadeg franchise, jadi loba jalma aub dina muka establishments franchise bisa boga informasi paspor na. MTS ngalaksanakeun pamariksaan internal, tapi henteu tiasa nangtoskeun saha anu leres-leres dipasang diteruskeun sareng kumaha panyerang nyegat SMS. Pausahaan teu ngaku kasalahan, tapi dina waktos anu sareng ditawarkeun Alexei santunan pisan aneh - 750 rubles.
Kami nganggap yén ngaidentipikasi palanggan jarak jauh ngan ukur nganggo data pribadi anu leres mangrupikeun prakték anu curiga sareng nyerat keluhan ka Roskomnadzor pikeun pariksa patuh prosés perusahaan sapertos kitu sareng sarat panerapan dina data pribadi. Hasilna, Roskomnadzor sided kalawan MTS, nunjuk kaluar yén ngatur jasa komunikasi sanggeus idéntifikasi jauh ku telepon bari nyadiakeun data pribadi bener cukup normal, sarta ngadegkeun métode tambahan panyalindungan ngalawan jenis ieu lampah teu sah téh nyeri sirah pikeun palanggan sorangan, teu. pausahaan. (baca jawaban lengkep - )
Peretasan akun Alexey Mironov sanés mangrupikeun kasus aksés anu henteu sah kana data palanggan MTS. Dina 2018, database 500 rébu palanggan di Novosibirsk dua panyerang, salah sahijina éta pagawé pausahaan. Aranjeunna nyobian ngajual database dina harga 1 ruble pikeun data hiji palanggan.
Dina 2016 aya Akun Telegram aktivis oposisi Georgy Alburov sareng Oleg Kozlovsky. Rekeningna dihubungkeun sareng nomer MTS, sareng teu lami sateuacan hack, jasa SMSna ditumpurkeun sareng diteruskeun diaktipkeun. Kaayaan break-in ogé henteu ditetepkeun. Dina 2019, Oleg Kozlovsky ngajukeun gugatan ngalawan MTS, tapi pangadilan ditolak.
Ngajagi akun tina sababaraha jasa wéb sareng aplikasi tina peretasan mangrupikeun tanggung jawab pangguna sorangan. Posisi ieu dibagi ku operator telekomunikasi sareng régulator sorangan, numutkeun aranjeunna nolak ngabagi résiko ieu sareng palanggan sorangan.
RKN ngajelaskeun ku cara kieu dina résponna:
"... Nurutkeun klausa 2.11 tina Kaayaan MTS, pikeun tujuan idéntifikasi, palanggan ti operator telekomunikasi dibéré kasempetan pikeun ngagunakeun Kecap Kode - runtuyan simbol (hurup, angka) dieusian ku Subscriber dina formulir ngadegkeun ku. operator, nu boga fungsi pikeun ngaidentipikasi Subscriber nalika executing pasatujuan. Palanggan ngagaduhan kasempetan pikeun nyetél kecap kode boh nalika nyimpulkeun perjanjian (dina hal ieu diasupkeun dina bentuk perjanjian sareng detil wajib) sareng iraha waé salami palaksanaan perjanjian. Sanajan kitu, palanggan Mironov A.K. kecap kode teu diatur saméméh sambungan sengketa tina jasa. Dina kaayaan kitu, ngan palanggan, ku nyieun kecap kode salila idéntifikasi jeung operator telekomunikasi, bisa neutralize resiko konsékuansi ngarugikeun tina kaayaan kitu, tapi teu ngamangpaatkeun kasempetan ieu.
Pamulihan akun. Misi Mustahil
Keluhan ngeunaan henteuna Roskomnadzor parantos diajukeun ka kantor jaksa. Samentara éta, pulisi terus cicingeun dina laporan kajahatan. Teu aya anu ngalaporkeun nanaon di jero perusahaan ngeunaan hasil panalungtikan ogé. MTS teu ngaku kasalahan nanaon. Henteu aya anu paduli. Dina waktu nu sarua, VKontakte terus nolak nu boga akun mulangkeun aksés ka dinya nepi ka anjeunna brings ti pulisi Resolusi pikeun initiate kasus kriminal ngadegkeun fakta dieusian jeung surat ti MTS, nu bakal mastikeun yén layanan redirection nyaeta contestable. Dina surat kalayan katerangan anu cukup luas, aya ogé sarat yén Mironov ogé kedah nyayogikeun sertipikat ti MTS yén anjeunna hiji-hijina (sareng naon, dimana waé operator ngadaptarkeun kapamilikan gabungan nomer telepon?) Pamaké nomer telepon anu dihubungkeun sareng kaca. Responna dugi ka akhir minggu kamari, sareng dipasihan jalan buntu dina kaayaan sareng impossibility ngahontal perjangjian sareng VKontakte salami genep bulan ayeuna, urang angkat ka pengadilan.
Kumaha ngajaga diri tina hacking
Penyerang ogé tiasa nampi aksés pikeun ngatur nomer telepon ngalangkungan kerentanan sanés - protokol SS7 atanapi kéngingkeun kartu SIM duplikat kalayan bantosan karyawan operator anu teu sopan.
SS7 mangrupikeun protokol téknis anu dianggo ku operator telekomunikasi. Ieu ngandung hiji heubeul jeung tétéla unremovable , nu ngidinan Anjeun pikeun intercept data dikirimkeun ku palanggan salila nelepon atawa via SMS. Ngan operator anu gaduh aksés ka SS7, tapi panyerang tiasa nampi éta ku mésér aksés dina darknet ti operator di nagara-nagara anu kurang maju atanapi ngalangkungan karyawan operator sélulér anu teu sopan. Serangan lumangsung nalika panyerang ngarobih alamat sistem tagihan palanggan ka alamatna nyalira. Seringna, panyerang ngawartosan sistem yén palanggan aya dina roaming internasional, janten cara anu paling gampang pikeun ngajagaan diri anjeun nyaéta nganonaktipkeun roaming internasional upami anjeun henteu nganggo éta.
Alexey Mironov teu acan gaduh sistem auténtikasi dua-faktor ngonpigurasi pikeun Vkontakte. fungsi ieu dina VK dina Juni 2014. Panginten anjeunna tiasa ngajagi akunna tina peretasan. Perlu diinget yén ngan ukur nyambungkeun akun ka nomer telepon sanés auténtikasi dua faktor. — ieu panyalindungan login ka hiji akun lamun, sajaba sandi, aksi séjén dipigawé. Pilihan anu paling umum nyaéta kode SMS. Métode ieu sanés anu paling dipercaya, sabab panyerang tiasa nyegat pesen SMS. Pilihan anu langkung aman nyaéta file konci, kode samentawis, aplikasi mobile sareng token hardware.
Hanjakalna, urang kapaksa hirup dina jaman dimana mastikeun kaamanan data janten masalah urang sorangan. Aranjeunna mudahan yén operator bakal bebas tanggung jawab dina acara Hack a, tapi tétéla ieu teu masalahna. Kitu ogé ngandelkeun Roskomnadzor, nu geus lila cerai ti realitas dina prakték panyalindungan data na. Éta incredibly hésé megatkeun ngaliwatan armor tina "bahan panolakan" tina perwira pulisi lokal anu bakal nampa aplikasi anjeun dina hal sarupa, utamana pikeun jalma biasa anu teu nyaho kumaha sistem ieu jalan. Naon anu tetep? Tong hilap ngeunaan kabersihan digital, percanten ka matematika sareng ngabela hak anjeun di pengadilan.
sumber: www.habr.com