Bedragare stal VKontakte-sidan för entreprenören Alexey Mironov på grund av en sårbarhet i MTS kundidentifikationssystem. Det sociala nätverket har aldrig lämnat tillbaka det till sin ägare och kräver det omöjliga av honom. Nu stämmer han VKontakte för detta. Han representeras av Center for Digital Rights.
Alexey Mironov är grundaren av Jeffrey's Coffee-kedjan. Detta är en franchise av kaféer i Moskva och regionerna. Alexey kommunicerade ofta med kollegor och partners på VKontakte och upprätthöll en mycket populär offentlig sida för sitt nätverk där, med mer än 50 000 prenumeranter.
I november 2018, tidigt på morgonen, när Alexey var på affärsresa i Kina, hackades hans VKontakte-sida. Han fick SMS från VKontakte, WhatsApp och ett meddelande från MTS-operatören som sa att vidarekoppling till ett annat nummer var inställt. Alexey ställde inte upp vidarebefordran, så han blev omedelbart orolig och ringde MTS. De bestämde inte ens omedelbart att det verkligen fanns en omdirigering. Operatören kunde stänga av den bara två timmar efter Alexeys samtal. MTS hittade aldrig data om hur och när vidarebefordran aktiverades.
Alexey kontrollerade tillgången till sociala nätverk och snabbmeddelanden och såg att han inte längre kunde logga in på dem med sitt telefonnummer. Hackarna kopplade ett annat nummer till hans konton. Med WhatsApp löstes problemet snabbt. Omedelbart efter att ha avbrutit vidarebefordran återställde budbäraren åtkomsten till kontot till den rättmätige ägaren.
Alexey skrev till VKontakte-supporten och bad att få tillbaka sidan och skickade ett foto av sitt pass. På kvällen fick han ett sms om att ansökan avslogs, eftersom nuvarande ägare bekräftat tillträdesrätten.
En teknisk supportspecialist sa att Alexey frivilligt kunde överföra åtkomst till sin sida till tredje part, så de kommer inte att återställa hans åtkomst. Alexey förklarade hackningssituationen, men han ombads att skicka ett bekräftelsebrev från MTS, där operatören skulle bekräfta att ett hack hade inträffat. Alexey gav ett brev från MTS. Efter detta krävde VKontakte-förvaltningen att detta brev skulle bestyrkas av polisen. Detta krav är mycket svårt att uppfylla eftersom det inte är polisens uppgift att intyga brev och undertecknarens legitimation. Alexey kunde blockera den hackade sidan endast genom att personligen fråga VKontakte-anställda att han visste om det. Sidan har inte returnerats ännu. Det enda Alexey uppnådde var att blockera sitt konto. Nu kan varken bedragare eller han själv använda det.
VKontaktes supporttjänst är en annan historia. Endast auktoriserade användare kan kontakta VKontaktes supporttjänst. Det betyder att om du förlorar åtkomsten till din sida måste du skapa en ny eller be dina vänner att ge åtkomst till deras sidor för att kunna skriva till stöd. Alexey korresponderade med supporttjänstspecialister från sin frus sida, och detta störde dem inte, även om användaravtalet inte tillåter överföring av inloggning och lösenord till någon annan.
Hackningen av sidan och ytterligare förlust av åtkomst till kontot och den offentliga sidan skadade uppenbarligen både Alexeys affärsrykte och hans egendomsintressen. För att inte tala om att detta tillät en betydande mängd personlig och kommersiell information att läcka till okända destinationer. Bedragare från affärsmannens konto bad sina vänner att överföra stora summor pengar till dem. En person överförde dem 34 tusen rubel. Angriparna hade tillgång till personlig information från Alexeys konto i XNUMX timmar.
Rättegång mot VKontakte
Alexey Mironov lämnade in en stämningsansökan mot det sociala nätverket VKontakte i Smolninsky District Court i S:t Petersburg och väntar nu på överlåtelse av ärendet. Han ber domstolen att tvinga det sociala nätverket att uppfylla sitt eget avtal, som ingåtts i form av ett användaravtal, och ge honom tillgång till sin sida. Till denna dag fortsätter VKontakte-administrationen att beröva Alexey åtkomst till sitt konto på orimligt sätt, medan han samvetsgrant följde villkoren i användaravtalet och omedelbart informerade den tekniska supporttjänsten för det sociala nätverket om hacket. VKontakte vägrade att återställa hans åtkomst till sidan, med hänvisning till en klausul i användaravtalet som förbjuder användare att överföra sin sidas login och lösenord till tredje part. VKontakte-supportagenten som Alexey pratade med sa att du bara kan ställa in vidarebefordran av telefonnummer genom att besöka operatörens kontor och visa upp ditt pass. I själva verket är detta inte fallet, och detta bekräftades av Roskomnadzor som svar på Alexeys överklagande.
Det sociala nätverket, i strid med användaravtalet, begränsade orimligt Alexeys tillgång till användningen av hans sida. Detta är en ensidig vägran att fullgöra skyldigheter, vilket bryter mot punkt 1 i art. 30 civillagen i Ryska federationen. Genom att beröva honom tillgången till sitt konto berövade VK också Alexey rätten att administrera sin offentliga sida, vilket är en viktig immateriell tillgång för honom. (Vi skrev om den offentliga marknaden som en ny form av digital egendom och särdragen med att slutföra transaktioner med dem )
Säkerhetshål i MTS-identifikationssystemet
Korrespondensen som bedragarna förde på uppdrag av företagaren visar att de kände till hans affärs- och affärsresa. De ringde MTS kontaktcenter, kunde identifiera sig på uppdrag av Alexey och satte upp samtalsvidarekoppling. Angripare kunde få hans passdata genom social ingenjörskonst. Alexey Mironov är grundaren av franchisen, så många personer som är involverade i att öppna franchiseanläggningar kan ha hans passinformation. MTS genomförde en intern utredning, men kunde inte avgöra vem som exakt installerade vidarebefordran och hur angriparen snappade upp SMS:et. Företaget erkände inte skuld, men erbjöd samtidigt Alexey en mycket konstig kompensation - 750 rubel.
Vi ansåg att det är en mycket tvivelaktig praxis att identifiera en abonnent på distans och endast använda korrekta personuppgifter och skrev ett klagomål till Roskomnadzor för att verifiera att denna typ av företagsprocess överensstämmer med kraven i lagstiftningen om personuppgifter. Som ett resultat ställde sig Roskomnadzor på MTS sida och påpekade att det är helt normalt att hantera kommunikationstjänster efter fjärridentifiering via telefon samtidigt som korrekta personuppgifter tillhandahålls, och att etablera ytterligare metoder för skydd mot denna typ av obehöriga handlingar är en huvudvärk för abonnenten själv, inte företaget. (läs hela svaret - )
Hackningen av Alexey Mironovs konto är inte det första fallet av obehörig åtkomst till MTS-abonnentdata. Under 2018, databasen med 500 tusen prenumeranter i Novosibirsk två angripare, varav en var anställd i företaget. De försökte sälja databasen till ett pris av 1 rubel för data från en abonnent.
2016 fanns det Telegramberättelser om oppositionsaktivisterna Georgy Alburov och Oleg Kozlovsky. Deras konton var kopplade till MTS-nummer och strax före hacket inaktiverades deras SMS-tjänst och vidarebefordran aktiverades. Omständigheterna kring inbrottet var inte heller klarlagda. 2019 lämnade Oleg Kozlovsky in en stämningsansökan mot MTS, men domstolen avslog den.
Att skydda konton för olika webbtjänster och applikationer från hackning är användarens eget ansvar. Denna position delas av både telekomoperatörer och tillsynsmyndigheten själv, enligt vilken de vägrar att dela dessa risker med sina egna abonnenter.
RKN beskriver det så här i sitt svar:
"... Enligt punkt 2.11 i MTS-villkoren, för identifieringsändamål, ges abonnenter från teleoperatören möjlighet att använda ett kodord - en sekvens av symboler (bokstäver, siffror) specificerade av abonnenten i den form som fastställts av Operatören, som tjänar till att identifiera Abonnenten vid genomförandet av Avtalet. Abonnenten har möjlighet att sätta ett kodord både vid avtalsslutande (i detta fall anges det i avtalsformuläret tillsammans med de obligatoriska uppgifterna) och när som helst under avtalets genomförande. Trots detta har abonnenten Mironov A.K. kodordet sattes inte före den omtvistade anslutningen av tjänsten. Under sådana omständigheter var det bara abonnenten som, genom att upprätta ett kodord vid identifiering med teleoperatören, kunde neutralisera risken för negativa konsekvenser av sådana situationer, men utnyttjade inte denna möjlighet.”
Kontoåterhämtning. Omöjligt uppdrag
Ett klagomål om Roskomnadzors passivitet har redan lämnats in till åklagarmyndigheten. Samtidigt fortsätter polisen att vara tyst om brottsanmälan. Ingen rapporterar heller något inom företaget om resultatet av utredningen. MTS erkänner ingen skuld. Ingen bryr sig. Samtidigt fortsätter VKontakte att vägra kontoägaren att återställa åtkomst till det tills han kommer från polisen en resolution om att inleda ett brottmål som fastställer de specificerade fakta och ett brev från MTS, som kommer att bekräfta att omdirigeringstjänsten är bestridbar. I brevet med ganska omfattande förklaringar finns också ett krav på att Mironov även ska tillhandahålla ett intyg från MTS om att han är den enda (och vilken, någonstans registrerar operatörer gemensamt ägande av telefonnummer?) användare av telefonnumret som var kopplat till sidan. Svaret kom i slutet av förra veckan och med tanke på dödläget i situationen och omöjligheten att nå en överenskommelse med VKontakte sedan ett halvår tillbaka gick vi till domstol.
Hur du skyddar dig från hacking
Angripare kan också få tillgång till att hantera ett telefonnummer genom andra sårbarheter – SS7-protokollet eller skaffa ett duplikat av SIM-kort med hjälp av skrupelfria operatörsanställda.
SS7 är ett tekniskt protokoll som används av telekomoperatörer. Den innehåller en gammal och uppenbarligen outtagbar , som låter dig fånga upp data som överförs av abonnenter under ett samtal eller via SMS. Endast operatörer har tillgång till SS7, men angripare kan få det genom att köpa åtkomst på darknet från operatörer i underutvecklade länder eller genom skrupelfria anställda hos mobiloperatörer. En attack inträffar när en angripare ändrar abonnentens faktureringssystemadress till sin egen adress. Oftast meddelar angripare systemet att abonnenten är i internationell roaming, så det enklaste sättet att skydda sig är att inaktivera internationell roaming om du inte använder det.
Alexey Mironov hade ännu inte ett tvåfaktorsautentiseringssystem konfigurerat för Vkontakte. Denna funktion i VK i juni 2014. Hon kanske kunde skydda hans konto från att bli hackad. Det är värt att komma ihåg att att bara länka ett konto till ett telefonnummer inte är tvåfaktorsautentisering. — detta är skyddet för inloggning på ett konto när, förutom lösenordet, en annan åtgärd utförs. Det vanligaste alternativet är en SMS-kod. Denna metod är inte den mest tillförlitliga, eftersom angripare kan fånga upp SMS-meddelandet. Säkrare alternativ är en nyckelfil, tillfälliga koder, en mobilapplikation och en hårdvarutoken.
Tyvärr tvingas vi leva i en tid där att säkerställa datasäkerhet blir vårt eget problem. De hoppas att operatörer självständigt ska bära ansvaret vid ett hack, men så är tydligen inte fallet. Samt att förlita sig på Roskomnadzor, som länge har varit skild från verkligheten i sina dataskyddspraxis. Det är otroligt svårt att bryta igenom rustningen i "avslagsmaterialet" från den lokala polismannen som kommer att ta emot din ansökan i ett liknande fall, särskilt för en vanlig person som inte vet hur detta system fungerar. Vad finns kvar? Glöm inte digital hygien, lita på matematik och försvara dina rättigheter i domstol.
Källa: will.com