Walaghai waliiba ukurasa wa VKontakte wa mjasiriamali Alexey Mironov kwa sababu ya udhaifu katika mfumo wa kitambulisho cha wateja wa MTS. Mtandao wa kijamii haujawahi kurudisha kwa mmiliki wake na unadai kisichowezekana kutoka kwake. Sasa anashtaki VKontakte kwa hili. Anawakilishwa na Kituo cha Haki za Kidijitali.
Alexey Mironov ndiye mwanzilishi wa mnyororo wa Kahawa wa Jeffrey. Hii ni franchise ya maduka ya kahawa huko Moscow na mikoa. Alexey mara nyingi aliwasiliana na wenzake na washirika kwenye VKontakte na kudumisha ukurasa maarufu wa umma kwa mtandao wake huko, unaojumuisha zaidi ya wanachama 50.
Mnamo Novemba 2018, mapema asubuhi, wakati Alexey alikuwa kwenye safari ya biashara nchini China, ukurasa wake wa VKontakte ulidukuliwa. Alipokea SMS kutoka kwa VKontakte, WhatsApp na ujumbe kutoka kwa operator wa MTS, ambayo ilisema kwamba kusambaza kwa nambari nyingine kulianzishwa. Alexey hakuanzisha usambazaji, kwa hivyo mara moja akawa na wasiwasi na akapiga simu MTS. Hawakuamua hata mara moja kuwa kweli kulikuwa na uelekezaji upya. Opereta aliweza kuzima saa mbili tu baada ya simu ya Alexey. MTS haijawahi kupata data ya jinsi na wakati usambazaji ulivyoamilishwa.
Alexey aliangalia ufikiaji wa mitandao ya kijamii na wajumbe wa papo hapo na akaona kwamba hangeweza tena kuingia kwao kwa kutumia nambari yake ya simu. Wadukuzi hao waliunganisha nambari nyingine kwenye akaunti yake. Kwa WhatsApp suala lilitatuliwa haraka. Mara tu baada ya kughairi usambazaji, mjumbe alirejesha ufikiaji wa akaunti kwa mmiliki halali.
Alexey aliandika kwa usaidizi wa VKontakte akiuliza kurudisha ukurasa na kutuma picha ya pasipoti yake. Jioni alipokea SMS kwamba maombi yalikataliwa, kwani mmiliki wa sasa alithibitisha haki ya kufikia.
Mtaalamu wa usaidizi wa kiufundi alisema kwamba Alexey anaweza kuhamisha ufikiaji wa ukurasa wake kwa watu wengine kwa hiari, kwa hivyo hawatarejesha ufikiaji wake. Alexey alielezea hali ya utapeli, lakini aliulizwa kutuma barua ya uthibitisho kutoka kwa MTS, ambayo operator atathibitisha kwamba hack imetokea. Alexey alitoa barua kutoka kwa MTS. Baada ya hayo, utawala wa VKontakte ulitaka barua hii idhibitishwe na polisi. Sharti hili ni gumu sana kutimiza kwa sababu si kazi ya polisi kuthibitisha barua na sifa za mtu aliyetia saini. Alexey aliweza kuzuia ukurasa uliodukuliwa tu kwa kuuliza kibinafsi wafanyikazi wa VKontakte alijua juu yake. Ukurasa haujarejeshwa bado. Kitu pekee ambacho Alexey alipata ni kuzuia akaunti yake. Sasa si walaghai wala yeye mwenyewe anayeweza kuitumia.
Huduma ya usaidizi ya VKontakte ni hadithi tofauti. Watumiaji walioidhinishwa tu wanaweza kuwasiliana na huduma ya usaidizi ya VKontakte. Hii inamaanisha kuwa ikiwa utapoteza ufikiaji wa ukurasa wako, lazima uunde mpya au uwaombe marafiki wako wakupe ufikiaji wa kurasa zao ili kuandika kwa msaada. Alexey aliambatana na wataalam wa huduma ya usaidizi kutoka kwa ukurasa wa mke wake, na hii haikuwasumbua, ingawa Mkataba wa Mtumiaji hauruhusu kuhamisha kuingia na nenosiri kwa mtu mwingine.
Udukuzi wa ukurasa huo na upotevu zaidi wa ufikiaji wa akaunti na ukurasa wa umma bila shaka uliharibu sifa ya biashara ya Alexey na masilahi yake ya mali. Bila kusahau kwamba hii iliruhusu kiasi kikubwa cha taarifa za kibinafsi na za kibiashara kuvuja kwa maeneo yasiyojulikana. Walaghai kutoka kwa akaunti ya mfanyabiashara huyo waliwauliza marafiki zake wawahamishie kiasi kikubwa cha pesa. Mtu mmoja aliwahamisha rubles elfu 34. Washambuliaji walipata habari za kibinafsi kutoka kwa akaunti ya Alexey kwa masaa XNUMX.
Kesi dhidi ya VKontakte
Alexey Mironov alifungua kesi dhidi ya mtandao wa kijamii wa VKontakte katika Mahakama ya Wilaya ya Smolninsky ya St. Petersburg na sasa anasubiri kazi ya kesi hiyo. Anaiomba mahakama kulazimisha mtandao wa kijamii kutimiza makubaliano yake yenyewe, yaliyohitimishwa kwa njia ya Makubaliano ya Mtumiaji, na kumrejeshea ufikiaji wa ukurasa wake. Hadi leo, utawala wa VKontakte unaendelea kumnyima Alexey ufikiaji wa akaunti yake bila sababu, wakati alitii kwa uangalifu masharti ya Mkataba wa Mtumiaji na mara moja akaarifu huduma ya msaada wa kiufundi ya mtandao wa kijamii kuhusu utapeli huo. VKontakte ilikataa kurejesha ufikiaji wake kwa ukurasa, akitoa mfano wa kifungu katika Mkataba wa Mtumiaji ambacho kinakataza watumiaji kuhamisha kuingia kwa ukurasa wao na nywila kwa watu wengine. Wakala wa usaidizi wa VKontakte ambaye Alexey alizungumza naye alisema kuwa unaweza kuanzisha usambazaji wa nambari ya simu tu kwa kutembelea ofisi ya operator na kuwasilisha pasipoti yako. Kwa kweli, hii sivyo, na hii ilithibitishwa na Roskomnadzor kwa kukabiliana na rufaa ya Alexey.
Mtandao wa kijamii, kwa kukiuka Makubaliano ya Mtumiaji, ulizuia ufikiaji wa Alexey kwa matumizi ya ukurasa wake. Hii ni kukataa kwa upande mmoja kutimiza majukumu, kukiuka aya ya 1 ya Sanaa. 30 Kanuni ya Kiraia ya Shirikisho la Urusi. Kwa kumnyima ufikiaji wa akaunti yake, VK pia ilimnyima Alexey haki ya kusimamia ukurasa wake wa umma, ambayo ni mali muhimu isiyoonekana kwake. (Tuliandika juu ya soko la umma kama aina mpya ya mali ya dijiti na sifa za kuhitimisha shughuli nao. )
Mashimo ya usalama katika mfumo wa kitambulisho cha MTS
Mawasiliano yaliyofanywa na matapeli hao kwa niaba ya mjasiriamali huyo yanaonyesha kuwa walijua kuhusu safari yake ya kibiashara na kibiashara. Waliita kituo cha mawasiliano cha MTS, waliweza kujitambulisha kwa niaba ya Alexey na kuanzisha usambazaji wa simu. Wavamizi wanaweza kupata data yake ya pasipoti kupitia uhandisi wa kijamii. Alexey Mironov ndiye mwanzilishi wa franchise, hivyo watu wengi wanaohusika katika kufungua vituo vya franchise wanaweza kuwa na habari zake za pasipoti. MTS ilifanya uchunguzi wa ndani, lakini haikuweza kubaini ni nani haswa alisakinisha usambazaji na jinsi mshambuliaji alizuia SMS. Kampuni hiyo haikukubali hatia, lakini wakati huo huo ilimpa Alexey fidia ya ajabu sana - 750 rubles.
Tulizingatia kwamba kutambua mteja kwa mbali tu kwa kutumia data sahihi ya kibinafsi ni mazoezi ya kutisha sana na tukaandika malalamiko kwa Roskomnadzor ili kuthibitisha kufuata kwa aina hii ya mchakato wa kampuni na mahitaji ya sheria kwenye data ya kibinafsi. Kama matokeo, Roskomnadzor alishirikiana na MTS, akionyesha kuwa kusimamia huduma za mawasiliano baada ya kitambulisho cha mbali kwa simu wakati wa kutoa data sahihi ya kibinafsi ni kawaida kabisa, na kuanzisha njia za ziada za ulinzi dhidi ya aina hii ya vitendo visivyoidhinishwa ni maumivu ya kichwa kwa mteja mwenyewe, sio. kampuni. (soma jibu kamili - )
Utapeli wa akaunti ya Alexey Mironov sio kesi ya kwanza ya ufikiaji usioidhinishwa wa data ya mteja wa MTS. Mnamo 2018, hifadhidata ya wanachama 500 elfu huko Novosibirsk washambuliaji wawili, mmoja wao alikuwa mfanyakazi wa kampuni. Walijaribu kuuza hifadhidata kwa bei ya ruble 1 kwa data ya mteja mmoja.
Mwaka 2016 kulikuwa na Akaunti za Telegraph za wanaharakati wa upinzani Georgy Alburov na Oleg Kozlovsky. Akaunti zao ziliunganishwa kwa nambari za MTS, na muda mfupi kabla ya udukuzi, huduma yao ya SMS ilizimwa na usambazaji kuwezeshwa. Hali za uvunjaji huo pia hazijaanzishwa. Mnamo 2019, Oleg Kozlovsky alifungua kesi dhidi ya MTS, lakini mahakama iliikataa.
Kulinda akaunti za huduma mbali mbali za wavuti na programu kutoka kwa udukuzi ni jukumu la mtumiaji mwenyewe. Nafasi hii inashirikiwa na waendeshaji wa mawasiliano ya simu na mdhibiti yenyewe, kulingana na ambayo wanakataa kushiriki hatari hizi na wasajili wao wenyewe.
RKN inaielezea hivi katika majibu yake:
"... Kwa mujibu wa kifungu cha 2.11 cha Masharti ya MTS, kwa madhumuni ya kitambulisho, wanachama kutoka kwa operator wa mawasiliano ya simu wanapewa fursa ya kutumia Neno la Kanuni - mlolongo wa alama (barua, nambari) zilizotajwa na Msajili katika fomu iliyoanzishwa na Opereta, ambayo hutumikia kutambua Msajili wakati wa kutekeleza Mkataba. Msajili ana nafasi ya kuweka neno la kificho wakati wa kuhitimisha makubaliano (katika kesi hii imeingizwa katika fomu ya makubaliano pamoja na maelezo ya lazima) na wakati wowote wakati wa utekelezaji wa makubaliano. Pamoja na hayo, mteja Mironov A.K. neno la msimbo halikuwekwa kabla ya muunganisho wenye utata wa huduma. Katika hali kama hizi, ni mteja tu, kwa kuanzisha neno la msimbo wakati wa kitambulisho na opereta wa mawasiliano ya simu, anaweza kupunguza hatari ya matokeo mabaya kutoka kwa hali kama hizo, lakini hakuchukua fursa hii.
Urejeshaji wa akaunti. Mission haiwezekani
Malalamiko kuhusu kutotenda kwa Roskomnadzor tayari yamewasilishwa kwa ofisi ya mwendesha mashitaka. Wakati huo huo, polisi wanaendelea kukaa kimya juu ya ripoti ya uhalifu. Hakuna anayeripoti chochote ndani ya kampuni kuhusu matokeo ya uchunguzi pia. MTS haikubali hatia yoyote. Hakuna anayejali. Wakati huo huo, VKontakte inaendelea kukataa mmiliki wa akaunti kurejesha upatikanaji wake mpaka atakapoleta kutoka kwa polisi Azimio la kuanzisha kesi ya jinai kuanzisha ukweli maalum na barua kutoka kwa MTS, ambayo itathibitisha kuwa huduma ya uelekezaji inapingana. Katika barua iliyo na maelezo ya kina, pia kuna hitaji kwamba Mironov lazima pia atoe cheti kutoka kwa MTS kwamba yeye ndiye pekee (na nini, mahali fulani waendeshaji husajili umiliki wa pamoja wa nambari za simu?) Mtumiaji wa nambari ya simu ambayo iliunganishwa na ukurasa. Jibu lilifika mwishoni mwa wiki iliyopita, na kutokana na msuguano katika hali hiyo na kutowezekana kwa kufikia makubaliano na VKontakte kwa miezi sita sasa, tulienda kortini.
Jinsi ya kujikinga na hacking
Wavamizi wanaweza pia kupata ufikiaji wa kudhibiti nambari ya simu kupitia udhaifu mwingine - itifaki ya SS7 au kupata nakala ya SIM kadi kwa usaidizi wa wafanyikazi wasio waaminifu.
SS7 ni itifaki ya kiufundi inayotumiwa na waendeshaji wa mawasiliano ya simu. Ina ya zamani na inaonekana kuwa haiwezi kuondolewa , ambayo hukuruhusu kuingilia data inayotumwa na waliojisajili wakati wa simu au kupitia SMS. Ni waendeshaji pekee ndio wanaoweza kufikia SS7, lakini wavamizi wanaweza kuipata kwa kununua ufikiaji kwenye mtandao wa giza kutoka kwa waendeshaji katika nchi ambazo hazijaendelea au kupitia wafanyikazi wasio waaminifu wa kampuni za simu. Shambulio hutokea wakati mshambulizi anabadilisha anwani ya mfumo wa utozaji wa mteja kuwa anwani yake mwenyewe. Mara nyingi, washambuliaji hufahamisha mfumo kuwa mteja yuko katika utumiaji wa mitandao ya kimataifa, kwa hivyo njia rahisi zaidi ya kujilinda ni kuzima uzururaji wa kimataifa ikiwa hutumii.
Alexey Mironov bado hakuwa na mfumo wa uthibitishaji wa sababu mbili uliosanidiwa kwa Vkontakte. Kazi hii katika VK mnamo Juni 2014. Labda angeweza kulinda akaunti yake isidukuliwe. Inafaa kukumbuka kuwa kuunganisha tu akaunti na nambari ya simu sio uthibitishaji wa sababu mbili. - hii ni ulinzi wa kuingia kwa akaunti wakati, pamoja na nenosiri, hatua nyingine inafanywa. Chaguo la kawaida ni nambari ya SMS. Njia hii sio ya kuaminika zaidi, kwani washambuliaji wanaweza kukatiza ujumbe wa SMS. Chaguo salama zaidi ni faili muhimu, misimbo ya muda, programu ya simu na tokeni ya maunzi.
Kwa bahati mbaya, tunalazimika kuishi katika enzi ambapo kuhakikisha usalama wa data inakuwa tatizo letu wenyewe. Wanatumai kuwa waendeshaji watawajibika kwa uhuru katika tukio la utapeli, lakini inaonekana hii sivyo. Pamoja na kutegemea Roskomnadzor, ambayo kwa muda mrefu imekuwa talaka kutoka kwa ukweli katika mazoea yake ya ulinzi wa data. Ni ngumu sana kuvunja silaha za "nyenzo za kukataa" za afisa wa polisi wa eneo hilo ambaye atapokea ombi lako katika kesi kama hiyo, haswa kwa mtu wa kawaida ambaye hajui jinsi mfumo huu unavyofanya kazi. Ni nini kinachobaki? Usisahau kuhusu usafi wa dijiti, amini hisabati na utetee haki zako mahakamani.
Chanzo: mapenzi.com