ఖాతా యుద్ధం. జెఫ్రీస్ కాఫీ చైన్ వ్యవస్థాపకుడు VKontakteపై దావా వేస్తున్నారు

MTS కస్టమర్ ఐడెంటిఫికేషన్ సిస్టమ్‌లో దుర్బలత్వం కారణంగా వ్యవస్థాపకుడు అలెక్సీ మిరోనోవ్ యొక్క VKontakte పేజీని మోసగాళ్ళు దొంగిలించారు. సోషల్ నెట్‌వర్క్ దానిని దాని యజమానికి తిరిగి ఇవ్వలేదు మరియు అతని నుండి అసాధ్యమని డిమాండ్ చేస్తోంది. ఇప్పుడు అతను దీని కోసం VKontakteపై దావా వేస్తున్నాడు. అతను డిజిటల్ హక్కుల కోసం సెంటర్ ద్వారా ప్రాతినిధ్యం వహిస్తాడు.

అలెక్సీ మిరోనోవ్ జెఫ్రీస్ కాఫీ చైన్ స్థాపకుడు. ఇది మాస్కో మరియు ప్రాంతాలలో కాఫీ షాపుల ఫ్రాంచైజీ. అలెక్సీ తరచుగా VKontakteలో సహచరులు మరియు భాగస్వాములతో కమ్యూనికేట్ చేసేవాడు మరియు 50 కంటే ఎక్కువ మంది చందాదారులతో తన నెట్‌వర్క్ కోసం చాలా ప్రజాదరణ పొందిన పబ్లిక్ పేజీని నిర్వహించాడు.

నవంబర్ 2018లో, తెల్లవారుజామున, అలెక్సీ చైనాలో వ్యాపార పర్యటనలో ఉన్నప్పుడు, అతని VKontakte పేజీ హ్యాక్ చేయబడింది. అతనికి VKontakte, WhatsApp నుండి SMS మరియు MTS ఆపరేటర్ నుండి ఒక సందేశం వచ్చింది, అది మరొక నంబర్‌కు ఫార్వార్డింగ్ సెటప్ చేయబడింది. అలెక్సీ ఫార్వార్డింగ్‌ను సెటప్ చేయలేదు, కాబట్టి అతను వెంటనే ఆందోళన చెందాడు మరియు MTS కి కాల్ చేశాడు. వాస్తవానికి దారిమార్పు ఉందని వారు వెంటనే గుర్తించలేదు. అలెక్సీ కాల్ చేసిన రెండు గంటల తర్వాత ఆపరేటర్ దానిని ఆఫ్ చేయగలిగాడు. ఫార్వార్డింగ్ ఎలా మరియు ఎప్పుడు యాక్టివేట్ చేయబడిందనే దానిపై MTS డేటాను ఎప్పుడూ కనుగొనలేదు.

అలెక్సీ సోషల్ నెట్‌వర్క్‌లు మరియు ఇన్‌స్టంట్ మెసెంజర్‌లకు యాక్సెస్‌ని తనిఖీ చేశాడు మరియు అతను ఇకపై తన ఫోన్ నంబర్‌ను ఉపయోగించి వాటికి లాగిన్ చేయలేనని చూశాడు. హ్యాకర్లు అతని ఖాతాలకు మరో నంబర్‌ను లింక్ చేశారు. వాట్సాప్‌తో సమస్య త్వరగా పరిష్కారమైంది. ఫార్వార్డింగ్‌ను రద్దు చేసిన వెంటనే, మెసెంజర్ సరైన యజమానికి ఖాతాకు యాక్సెస్‌ను పునరుద్ధరించారు.

పేజీని తిరిగి ఇవ్వమని అలెక్సీ VKontakte మద్దతుకు వ్రాసాడు మరియు అతని పాస్‌పోర్ట్ ఫోటోను పంపాడు. ప్రస్తుత యజమాని యాక్సెస్ హక్కును ధృవీకరించినందున, సాయంత్రం అతను అప్లికేషన్ తిరస్కరించబడిందని SMS అందుకున్నాడు.

అలెక్సీ తన పేజీకి ప్రాప్యతను మూడవ పక్షాలకు స్వచ్ఛందంగా బదిలీ చేయవచ్చని సాంకేతిక మద్దతు నిపుణుడు పేర్కొన్నాడు, కాబట్టి వారు అతని ప్రాప్యతను పునరుద్ధరించరు. అలెక్సీ హ్యాకింగ్ పరిస్థితిని వివరించాడు, అయితే అతను MTS నుండి నిర్ధారణ లేఖను పంపమని అడిగాడు, దీనిలో హ్యాక్ జరిగిందని ఆపరేటర్ నిర్ధారిస్తారు. అలెక్సీ MTS నుండి ఒక లేఖను అందించాడు. దీని తరువాత, VKontakte పరిపాలన ఈ లేఖను పోలీసులచే ధృవీకరించాలని డిమాండ్ చేసింది. ఈ అవసరాన్ని నెరవేర్చడం చాలా కష్టం, ఎందుకంటే లేఖలు మరియు సంతకం చేసినవారి ఆధారాలను ధృవీకరించడం పోలీసుల విధి కాదు. అలెక్సీ తన VKontakte ఉద్యోగులను వ్యక్తిగతంగా అలా చేయమని అడగడం ద్వారా మాత్రమే హ్యాక్ చేయబడిన పేజీని బ్లాక్ చేయగలిగాడు. పేజీ ఇంకా తిరిగి ఇవ్వబడలేదు. అలెక్సీ సాధించిన ఏకైక విషయం అతని ఖాతాను బ్లాక్ చేయడం. ఇప్పుడు స్కామర్లు లేదా అతను స్వయంగా దానిని ఉపయోగించలేరు.

VKontakte మద్దతు సేవ వేరే కథ. అధీకృత వినియోగదారులు మాత్రమే VKontakte మద్దతు సేవను సంప్రదించగలరు. దీని అర్థం మీరు మీ పేజీకి ప్రాప్యతను కోల్పోతే, మీరు తప్పనిసరిగా కొత్తదాన్ని సృష్టించాలి లేదా మద్దతుగా వ్రాయడానికి వారి పేజీలకు యాక్సెస్ ఇవ్వమని మీ స్నేహితులను అడగాలి. అలెక్సీ తన భార్య పేజీ నుండి సహాయక సేవా నిపుణులతో సంప్రదింపులు జరిపాడు మరియు ఇది వారిని ఇబ్బంది పెట్టలేదు, అయినప్పటికీ వినియోగదారు ఒప్పందం లాగిన్ మరియు పాస్‌వర్డ్‌ను వేరొకరికి బదిలీ చేయడానికి అనుమతించదు.

పేజీని హ్యాక్ చేయడం మరియు ఖాతా మరియు పబ్లిక్ పేజీకి ప్రాప్యత కోల్పోవడం వలన అలెక్సీ యొక్క వ్యాపార ప్రతిష్ట మరియు అతని ఆస్తి ఆసక్తులు రెండూ స్పష్టంగా దెబ్బతిన్నాయి. ఇది గణనీయమైన మొత్తంలో వ్యక్తిగత మరియు వాణిజ్య సమాచారాన్ని తెలియని గమ్యస్థానాలకు లీక్ చేయడానికి అనుమతించిందని ప్రత్యేకంగా చెప్పనక్కర్లేదు. వ్యాపారవేత్త ఖాతా నుండి మోసగాళ్లు పెద్ద మొత్తంలో డబ్బును బదిలీ చేయమని అతని స్నేహితులను కోరారు. ఒక వ్యక్తి వారికి 34 వేల రూబిళ్లు బదిలీ చేశాడు. దాడి చేసిన వ్యక్తులు అలెక్సీ ఖాతా నుండి XNUMX గంటల పాటు వ్యక్తిగత సమాచారాన్ని యాక్సెస్ చేశారు.

VKontakteపై దావా

అలెక్సీ మిరోనోవ్ సెయింట్ పీటర్స్‌బర్గ్‌లోని స్మోల్నిన్స్కీ డిస్ట్రిక్ట్ కోర్ట్‌లో సోషల్ నెట్‌వర్క్ VKontakteకి వ్యతిరేకంగా దావా వేశారు మరియు ఇప్పుడు కేసు యొక్క కేటాయింపు కోసం వేచి ఉన్నారు. వినియోగదారు ఒప్పందం రూపంలో ముగించబడిన దాని స్వంత ఒప్పందాన్ని నెరవేర్చడానికి సోషల్ నెట్‌వర్క్‌ను నిర్బంధించమని మరియు అతని పేజీకి అతనికి ప్రాప్యతను తిరిగి ఇవ్వమని అతను కోర్టును అడుగుతాడు. ఈ రోజు వరకు, VKontakte అడ్మినిస్ట్రేషన్ అలెక్సీని అసమంజసంగా తన ఖాతాకు ప్రాప్యతను కోల్పోతూనే ఉంది, అయితే అతను మనస్సాక్షిగా వినియోగదారు ఒప్పందం యొక్క నిబంధనలను పాటించాడు మరియు వెంటనే హాక్ గురించి సోషల్ నెట్‌వర్క్ యొక్క సాంకేతిక మద్దతు సేవకు తెలియజేశాడు. VKontakte పేజీకి తన ప్రాప్యతను పునరుద్ధరించడానికి నిరాకరించింది, వినియోగదారు ఒప్పందంలోని నిబంధనను ఉటంకిస్తూ వినియోగదారులు వారి పేజీ లాగిన్ మరియు పాస్‌వర్డ్‌ను మూడవ పక్షాలకు బదిలీ చేయకుండా నిషేధించారు. అలెక్సీ మాట్లాడిన VKontakte సపోర్ట్ ఏజెంట్ మీరు ఆపరేటర్ కార్యాలయాన్ని సందర్శించి మీ పాస్‌పోర్ట్‌ను ప్రదర్శించడం ద్వారా మాత్రమే ఫోన్ నంబర్ ఫార్వార్డింగ్‌ని సెటప్ చేయగలరని పేర్కొన్నారు. వాస్తవానికి, ఇది అలా కాదు మరియు అలెక్సీ విజ్ఞప్తికి ప్రతిస్పందనగా ఇది రోస్కోమ్నాడ్జోర్ చేత ధృవీకరించబడింది.

సోషల్ నెట్‌వర్క్, వినియోగదారు ఒప్పందాన్ని ఉల్లంఘిస్తూ, అలెక్సీ తన పేజీని ఉపయోగించడాన్ని అసమంజసంగా పరిమితం చేసింది. ఇది ఆర్ట్ యొక్క పేరా 1ని ఉల్లంఘిస్తూ, బాధ్యతలను నెరవేర్చడానికి ఏకపక్షంగా నిరాకరించడం. 30 రష్యన్ ఫెడరేషన్ యొక్క సివిల్ కోడ్. అతని ఖాతాకు ప్రాప్యతను కోల్పోవడం ద్వారా, VK అలెక్సీకి తన పబ్లిక్ పేజీని నిర్వహించే హక్కులను కూడా కోల్పోయాడు, ఇది అతనికి ముఖ్యమైన కనిపించని ఆస్తి. (మేము పబ్లిక్ మార్కెట్ గురించి డిజిటల్ ప్రాపర్టీ యొక్క కొత్త రూపం మరియు వాటితో లావాదేవీలను ముగించే ప్రత్యేకతల గురించి వ్రాసాము ముందు)

MTS గుర్తింపు వ్యవస్థలో భద్రతా రంధ్రాలు

వ్యవస్థాపకుడి తరపున స్కామర్లు నిర్వహించిన కరస్పాండెన్స్ అతని వ్యాపారం మరియు వ్యాపార పర్యటన గురించి వారికి తెలుసునని చూపిస్తుంది. వారు MTS సంప్రదింపు కేంద్రాన్ని పిలిచారు, అలెక్సీ తరపున తమను తాము గుర్తించుకోగలిగారు మరియు కాల్ ఫార్వార్డింగ్‌ని సెటప్ చేయగలిగారు. దాడి చేసేవారు సోషల్ ఇంజనీరింగ్ ద్వారా అతని పాస్‌పోర్ట్ డేటాను పొందవచ్చు. అలెక్సీ మిరోనోవ్ ఫ్రాంచైజీ స్థాపకుడు, కాబట్టి ఫ్రాంచైజ్ స్థాపనలను తెరవడంలో పాల్గొన్న చాలా మంది వ్యక్తులు అతని పాస్‌పోర్ట్ సమాచారాన్ని కలిగి ఉండవచ్చు. MTS అంతర్గత విచారణను నిర్వహించింది, అయితే ఫార్వార్డింగ్‌ను ఎవరు ఇన్‌స్టాల్ చేసారు మరియు దాడి చేసేవారు SMSని ఎలా అడ్డగించారో గుర్తించలేకపోయింది. కంపెనీ నేరాన్ని అంగీకరించలేదు, కానీ అదే సమయంలో అలెక్సీకి చాలా విచిత్రమైన పరిహారం ఇచ్చింది - 750 రూబిళ్లు.

సరైన వ్యక్తిగత డేటాను మాత్రమే ఉపయోగించి రిమోట్‌గా సబ్‌స్క్రైబర్‌ను గుర్తించడం చాలా సందేహాస్పదమైన పద్ధతి అని మేము భావించాము మరియు వ్యక్తిగత డేటాపై చట్టం యొక్క అవసరాలతో ఈ రకమైన కంపెనీ ప్రక్రియ యొక్క సమ్మతిని ధృవీకరించడానికి Roskomnadzorకి ఫిర్యాదు చేసాము. తత్ఫలితంగా, రోస్కోమ్నాడ్జోర్ MTS పక్షాన నిలిచాడు, సరైన వ్యక్తిగత డేటాను అందించేటప్పుడు ఫోన్ ద్వారా రిమోట్ గుర్తింపు తర్వాత కమ్యూనికేషన్ సేవలను నిర్వహించడం చాలా సాధారణమని మరియు ఈ రకమైన అనధికారిక చర్యల నుండి అదనపు రక్షణ పద్ధతులను ఏర్పాటు చేయడం చందాదారులకు తలనొప్పి అని సూచించింది. కంపెనీ . (పూర్తి సమాధానం చదవండి - ఇక్కడ)

అలెక్సీ మిరోనోవ్ ఖాతా హ్యాకింగ్ MTS చందాదారుల డేటాకు అనధికారిక యాక్సెస్ యొక్క మొదటి కేసు కాదు. 2018 లో, 500 వేల మంది చందాదారుల డేటాబేస్ దొంగిలించారు నోవోసిబిర్స్క్‌లో ఇద్దరు దాడి చేసినవారు, వారిలో ఒకరు కంపెనీ ఉద్యోగి. వారు ఒక చందాదారుల డేటా కోసం 1 రూబుల్ ధరకు డేటాబేస్ను విక్రయించడానికి ప్రయత్నించారు.

2016లో ఉన్నాయి హ్యాక్ చేశారు ప్రతిపక్ష కార్యకర్తలు జార్జి అల్బురోవ్ మరియు ఒలేగ్ కోజ్లోవ్స్కీ యొక్క టెలిగ్రామ్ ఖాతాలు. వారి ఖాతాలు MTS నంబర్‌లకు లింక్ చేయబడ్డాయి మరియు హ్యాక్‌కు కొంతకాలం ముందు, వారి SMS సేవ నిలిపివేయబడింది మరియు ఫార్వార్డింగ్ ప్రారంభించబడింది. బ్రేక్-ఇన్ యొక్క పరిస్థితులు కూడా స్థాపించబడలేదు. 2019 లో, ఒలేగ్ కోజ్లోవ్స్కీ MTS పై దావా వేశారు, కానీ కోర్టు దానిని తిరస్కరించింది.

హ్యాకింగ్ నుండి వివిధ వెబ్ సేవలు మరియు అప్లికేషన్ల ఖాతాలను రక్షించడం వినియోగదారు యొక్క బాధ్యత. ఈ స్థానాన్ని టెలికాం ఆపరేటర్లు మరియు రెగ్యులేటర్ ఇద్దరూ పంచుకుంటారు, దీని ప్రకారం వారు ఈ నష్టాలను వారి స్వంత చందాదారులతో పంచుకోవడానికి నిరాకరిస్తారు.

RKN దాని ప్రతిస్పందనలో ఈ విధంగా వివరిస్తుంది:
“... MTS షరతులలోని నిబంధన 2.11 ప్రకారం, గుర్తింపు ప్రయోజనాల కోసం, టెలికాం ఆపరేటర్ నుండి చందాదారులకు కోడ్ వర్డ్‌ని ఉపయోగించడానికి అవకాశం ఇవ్వబడుతుంది - చందాదారుడు ఏర్పాటు చేసిన రూపంలో పేర్కొన్న చిహ్నాల (అక్షరాలు, సంఖ్యలు) క్రమం ఒప్పందాన్ని అమలు చేస్తున్నప్పుడు చందాదారుని గుర్తించడానికి పనిచేసే ఆపరేటర్. ఒప్పందాన్ని ముగించేటప్పుడు (ఈ సందర్భంలో ఇది తప్పనిసరి వివరాలతో పాటు ఒప్పందం రూపంలో నమోదు చేయబడుతుంది) మరియు ఒప్పందం అమలు సమయంలో ఎప్పుడైనా కోడ్ పదాన్ని సెట్ చేయడానికి చందాదారునికి అవకాశం ఉంది. అయినప్పటికీ, చందాదారుడు మిరోనోవ్ ఎ.కె. సేవ యొక్క వివాదాస్పద కనెక్షన్‌కు ముందు కోడ్ పదం సెట్ చేయబడలేదు. అటువంటి పరిస్థితులలో, టెలికాం ఆపరేటర్‌తో గుర్తింపు సమయంలో ఒక కోడ్ వర్డ్‌ను ఏర్పాటు చేయడం ద్వారా చందాదారులు మాత్రమే అటువంటి పరిస్థితుల నుండి ప్రతికూల పరిణామాల ప్రమాదాన్ని తటస్తం చేయగలరు, కానీ ఈ అవకాశాన్ని ఉపయోగించుకోలేదు.

ఖాతా పునరుద్ధరణ. మిషన్ అసాధ్యం

రోస్కోమ్నాడ్జోర్ యొక్క నిష్క్రియాత్మకత గురించి ఇప్పటికే ప్రాసిక్యూటర్ కార్యాలయంలో ఫిర్యాదు చేయబడింది. కాగా, క్రైమ్ రిపోర్టుపై పోలీసులు మౌనంగానే ఉన్నారు. విచారణ ఫలితాల గురించి కంపెనీ లోపల ఎవరూ ఏమీ నివేదించరు. MTS ఏ నేరాన్ని అంగీకరించదు. ఎవ్వరూ పట్టించుకోరు. అదే సమయంలో, VKontakte పేర్కొన్న వాస్తవాలను మరియు MTS నుండి ఒక లేఖను స్థాపించే క్రిమినల్ కేసును ప్రారంభించడానికి పోలీసుల నుండి ఒక తీర్మానాన్ని తీసుకువచ్చే వరకు ఖాతా యజమానికి ప్రాప్యతను పునరుద్ధరించడానికి నిరాకరించడం కొనసాగిస్తుంది, ఇది దారి మళ్లింపు సేవ పోటీగా ఉందని నిర్ధారిస్తుంది. చాలా విస్తృతమైన వివరణలతో లేఖలో, మిరోనోవ్ తప్పనిసరిగా MTS నుండి ఒక ధృవీకరణ పత్రాన్ని అందించాలి, అతను లింక్ చేయబడిన ఫోన్ నంబర్ యొక్క ఏకైక వినియోగదారు (మరియు ఎక్కడా ఆపరేటర్లు ఫోన్ నంబర్ల ఉమ్మడి యాజమాన్యాన్ని నమోదు చేస్తారా?) పేజీ. ప్రతిస్పందన గత వారం చివరిలో వచ్చింది మరియు పరిస్థితిలో ప్రతిష్టంభన మరియు ఇప్పుడు ఆరు నెలలుగా VKontakteతో ఒప్పందం కుదుర్చుకోవడం అసాధ్యం, మేము కోర్టుకు వెళ్లాము.

హ్యాకింగ్ నుండి మిమ్మల్ని మీరు ఎలా రక్షించుకోవాలి

దాడి చేసేవారు ఇతర దుర్బలత్వాల ద్వారా ఫోన్ నంబర్‌ను నిర్వహించడానికి కూడా యాక్సెస్ పొందవచ్చు - SS7 ప్రోటోకాల్ లేదా నిష్కపటమైన ఆపరేటర్ ఉద్యోగుల సహాయంతో నకిలీ SIM కార్డ్‌ని పొందడం.

SS7 అనేది టెలికాం ఆపరేటర్లు ఉపయోగించే సాంకేతిక ప్రోటోకాల్. ఇది పాత మరియు స్పష్టంగా తొలగించలేనిది కలిగి ఉంది దుర్బలత్వం, ఇది కాల్ సమయంలో లేదా SMS ద్వారా చందాదారుల ద్వారా ప్రసారం చేయబడిన డేటాను అడ్డగించడానికి మిమ్మల్ని అనుమతిస్తుంది. ఆపరేటర్‌లు మాత్రమే SS7కి యాక్సెస్‌ను కలిగి ఉంటారు, అయితే దాడి చేసేవారు అభివృద్ధి చెందని దేశాల్లోని ఆపరేటర్‌ల నుండి లేదా మొబైల్ ఆపరేటర్‌ల నిష్కపటమైన ఉద్యోగుల ద్వారా డార్క్‌నెట్‌లో యాక్సెస్‌ను కొనుగోలు చేయడం ద్వారా దాన్ని పొందవచ్చు. దాడి చేసే వ్యక్తి చందాదారుడి బిల్లింగ్ సిస్టమ్ చిరునామాను అతని స్వంత చిరునామాకు మార్చినప్పుడు దాడి జరుగుతుంది. చాలా తరచుగా, దాడి చేసేవారు సబ్‌స్క్రైబర్ అంతర్జాతీయ రోమింగ్‌లో ఉన్నారని సిస్టమ్‌కు తెలియజేస్తారు, కాబట్టి మిమ్మల్ని మీరు రక్షించుకోవడానికి సులభమైన మార్గం అంతర్జాతీయ రోమింగ్‌ను ఉపయోగించకుంటే దానిని నిలిపివేయడం.

Alexey Mironov ఇంకా Vkontakte కోసం కాన్ఫిగర్ చేయబడిన రెండు-కారకాల ప్రమాణీకరణ వ్యవస్థను కలిగి లేదు. ఈ ఫంక్షన్ కనిపించాడు జూన్ 2014లో VKలో. బహుశా ఆమె అతని ఖాతాను హ్యాక్ చేయకుండా కాపాడుతుంది. ఫోన్ నంబర్‌కు ఖాతాను లింక్ చేయడం రెండు-కారకాల ప్రమాణీకరణ కాదని గుర్తుంచుకోవడం విలువ. రెండు-కారకాల ప్రమాణీకరణ — పాస్‌వర్డ్‌తో పాటు మరొక చర్య చేసినప్పుడు ఖాతాకు లాగిన్ చేయడం యొక్క రక్షణ ఇది. అత్యంత సాధారణ ఎంపిక SMS కోడ్. ఈ పద్ధతి అత్యంత నమ్మదగినది కాదు, ఎందుకంటే దాడి చేసేవారు SMS సందేశాన్ని అడ్డగించగలరు. మరింత సురక్షితమైన ఎంపికలు కీ ఫైల్, తాత్కాలిక కోడ్‌లు, మొబైల్ అప్లికేషన్ మరియు హార్డ్‌వేర్ టోకెన్.

దురదృష్టవశాత్తు, డేటా భద్రతను నిర్ధారించడం మా స్వంత సమస్యగా మారే యుగంలో మనం జీవించవలసి వస్తుంది. హ్యాక్ జరిగినప్పుడు ఆపరేటర్లు స్వతంత్రంగా బాధ్యత వహిస్తారని వారు ఆశిస్తున్నారు, కానీ స్పష్టంగా ఇది అలా కాదు. అలాగే రోస్కోమ్నాడ్జోర్‌పై ఆధారపడటంతోపాటు, దాని డేటా రక్షణ పద్ధతులలో చాలా కాలంగా వాస్తవికత నుండి విడాకులు తీసుకోబడ్డాయి. ఇలాంటి సందర్భంలో మీ దరఖాస్తును స్వీకరించే స్థానిక పోలీసు అధికారి యొక్క “తిరస్కరణ పదార్థం” యొక్క కవచాన్ని విచ్ఛిన్నం చేయడం చాలా కష్టం, ముఖ్యంగా ఈ వ్యవస్థ ఎలా పనిచేస్తుందో తెలియని సాధారణ వ్యక్తికి. ఏమి మిగిలి ఉంది? డిజిటల్ పరిశుభ్రత గురించి మర్చిపోవద్దు, గణితాన్ని విశ్వసించండి మరియు కోర్టులో మీ హక్కులను కాపాడుకోండి.

మూలం: www.habr.com