ผู้ฉ้อโกงขโมยหน้า VKontakte ของผู้ประกอบการ Alexey Mironov เนื่องจากช่องโหว่ในระบบการระบุลูกค้า MTS โซเชียลเน็ตเวิร์กไม่เคยคืนมันให้กับเจ้าของและกำลังเรียกร้องสิ่งที่เป็นไปไม่ได้จากเขา ตอนนี้เขากำลังฟ้องร้อง VKontakte ในเรื่องนี้ เขาเป็นตัวแทนจากศูนย์สิทธิดิจิทัล
Alexey Mironov เป็นผู้ก่อตั้งเครือ Jeffrey's Coffee นี่คือแฟรนไชส์ร้านกาแฟในมอสโกและภูมิภาค Alexey มักจะสื่อสารกับเพื่อนร่วมงานและพันธมิตรใน VKontakte และดูแลเพจสาธารณะยอดนิยมสำหรับเครือข่ายของเขาที่นั่น ซึ่งมีสมาชิกมากกว่า 50 ราย
ในเดือนพฤศจิกายน 2018 ช่วงเช้าตรู่ ตอนที่ Alexey เดินทางไปทำธุรกิจในประเทศจีน หน้า VKontakte ของเขาถูกแฮ็ก เขาได้รับ SMS จาก VKontakte, WhatsApp และข้อความจากผู้ให้บริการ MTS ซึ่งแจ้งว่ามีการตั้งค่าการส่งต่อไปยังหมายเลขอื่น Alexey ไม่ได้ตั้งค่าการส่งต่อ เขาจึงกังวลทันทีและโทรหา MTS พวกเขาไม่ได้ระบุทันทีว่ามีการเปลี่ยนเส้นทางจริงๆ เจ้าหน้าที่สามารถปิดได้เพียงสองชั่วโมงหลังจากการโทรของ Alexey MTS ไม่พบข้อมูลเกี่ยวกับวิธีการและเวลาที่เปิดใช้งานการส่งต่อ
Alexey ตรวจสอบการเข้าถึงโซเชียลเน็ตเวิร์กและผู้ส่งข้อความด่วน และพบว่าเขาไม่สามารถเข้าสู่ระบบโดยใช้หมายเลขโทรศัพท์ของเขาได้อีกต่อไป แฮกเกอร์เชื่อมโยงหมายเลขอื่นเข้ากับบัญชีของเขา ด้วย WhatsApp ปัญหาได้รับการแก้ไขอย่างรวดเร็ว ทันทีหลังจากยกเลิกการส่งต่อ ผู้ส่งสารจะคืนการเข้าถึงบัญชีให้กับเจ้าของโดยชอบธรรม
Alexey เขียนถึงฝ่ายสนับสนุน VKontakte เพื่อขอให้คืนหน้านี้และส่งรูปถ่ายหนังสือเดินทางของเขา ในตอนเย็นเขาได้รับ SMS ว่าแอปพลิเคชันถูกปฏิเสธ เนื่องจากเจ้าของปัจจุบันยืนยันสิทธิ์ในการเข้าถึง
ผู้เชี่ยวชาญด้านการสนับสนุนทางเทคนิคระบุว่า Alexey สามารถโอนการเข้าถึงเพจของเขาไปยังบุคคลที่สามโดยสมัครใจ ดังนั้นพวกเขาจึงไม่สามารถกู้คืนการเข้าถึงของเขาได้ Alexey อธิบายสถานการณ์การแฮ็ก แต่เขาถูกขอให้ส่งจดหมายยืนยันจาก MTS ซึ่งผู้ดำเนินการจะยืนยันว่ามีการแฮ็กเกิดขึ้น Alexey มอบจดหมายจาก MTS หลังจากนั้นฝ่ายบริหารของ VKontakte เรียกร้องให้ตำรวจรับรองจดหมายฉบับนี้ ข้อกำหนดนี้ทำได้ยากมากเนื่องจากไม่ใช่หน้าที่ของตำรวจในการรับรองจดหมายและข้อมูลประจำตัวของผู้ลงนาม Alexey สามารถบล็อกเพจที่ถูกแฮ็กได้โดยการถามพนักงาน VKontakte เป็นการส่วนตัวที่เขารู้เกี่ยวกับเรื่องนี้เท่านั้น เพจยังไม่ถูกส่งคืน สิ่งเดียวที่ Alexey ทำได้คือการบล็อกบัญชีของเขา ตอนนี้ทั้งนักต้มตุ๋นและตัวเขาเองก็ไม่สามารถใช้มันได้
บริการสนับสนุน VKontakte เป็นอีกเรื่องหนึ่ง เฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถติดต่อบริการสนับสนุน VKontakte ซึ่งหมายความว่าหากคุณไม่สามารถเข้าถึงเพจของคุณได้ คุณจะต้องสร้างเพจใหม่หรือขอให้เพื่อนของคุณให้สิทธิ์การเข้าถึงเพจของพวกเขาเพื่อเขียนข้อความสนับสนุน Alexey ติดต่อกับผู้เชี่ยวชาญด้านบริการสนับสนุนจากเพจของภรรยาของเขา และสิ่งนี้ไม่ได้รบกวนพวกเขา แม้ว่าข้อตกลงผู้ใช้จะไม่อนุญาตให้ถ่ายโอนข้อมูลเข้าสู่ระบบและรหัสผ่านไปให้บุคคลอื่นก็ตาม
การแฮ็กเพจและการสูญเสียการเข้าถึงบัญชีและเพจสาธารณะทำให้ทั้งชื่อเสียงทางธุรกิจของ Alexey และผลประโยชน์ในทรัพย์สินของเขาเสียหายอย่างเห็นได้ชัด ไม่ต้องพูดถึงว่าสิ่งนี้ทำให้ข้อมูลส่วนบุคคลและข้อมูลเชิงพาณิชย์จำนวนมากรั่วไหลไปยังจุดหมายปลายทางที่ไม่รู้จัก ผู้ฉ้อโกงจากบัญชีของนักธุรกิจขอให้เพื่อนโอนเงินจำนวนมากให้พวกเขา คนหนึ่งโอนเงินให้พวกเขา 34 รูเบิล ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนบุคคลจากบัญชีของ Alexey ได้เป็นเวลา XNUMX ชั่วโมง
คดีความกับ VKontakte
Alexey Mironov ยื่นฟ้องโซเชียลเน็ตเวิร์ก VKontakte ในศาลแขวง Smolninsky แห่งเซนต์ปีเตอร์สเบิร์ก และตอนนี้อยู่ระหว่างรอการมอบหมายคดี เขาขอให้ศาลบังคับให้เครือข่ายโซเชียลปฏิบัติตามข้อตกลงของตนเองโดยสรุปในรูปแบบของข้อตกลงผู้ใช้และส่งคืนการเข้าถึงเพจของเขา จนถึงทุกวันนี้ ฝ่ายบริหาร VKontakte ยังคงกีดกัน Alexey ไม่ให้เข้าถึงบัญชีของเขาอย่างไม่มีเหตุผล ในขณะที่เขาปฏิบัติตามเงื่อนไขของข้อตกลงผู้ใช้อย่างเป็นเรื่องเป็นราว และแจ้งบริการสนับสนุนทางเทคนิคของเครือข่ายโซเชียลทันทีเกี่ยวกับการแฮ็ก VKontakte ปฏิเสธที่จะคืนค่าการเข้าถึงเพจของเขา โดยอ้างถึงข้อในข้อตกลงผู้ใช้ที่ห้ามผู้ใช้โอนข้อมูลการเข้าสู่ระบบและรหัสผ่านของเพจไปยังบุคคลที่สาม ตัวแทนสนับสนุน VKontakte ที่ Alexey พูดด้วยระบุว่าคุณสามารถตั้งค่าการส่งต่อหมายเลขโทรศัพท์ได้โดยไปที่สำนักงานของผู้ให้บริการและแสดงหนังสือเดินทางของคุณเท่านั้น ในความเป็นจริง นี่ไม่ใช่กรณี และ Roskomnadzor ได้รับการยืนยันเพื่อตอบสนองต่อคำอุทธรณ์ของ Alexey
เครือข่ายโซเชียลละเมิดข้อตกลงผู้ใช้ จำกัด การเข้าถึงการใช้เพจของ Alexey อย่างไม่สมเหตุสมผล นี่เป็นการปฏิเสธฝ่ายเดียวในการปฏิบัติตามพันธกรณี ซึ่งเป็นการละเมิดวรรค 1 ของมาตรา 30 ประมวลกฎหมายแพ่งของสหพันธรัฐรัสเซีย ด้วยการกีดกันไม่ให้เขาเข้าถึงบัญชีของเขา VK ยังลิดรอนสิทธิ์ของ Alexey ในการจัดการหน้าสาธารณะของเขาซึ่งเป็นสินทรัพย์ไม่มีตัวตนที่สำคัญสำหรับเขา (เราเขียนเกี่ยวกับตลาดสาธารณะว่าเป็นทรัพย์สินดิจิทัลรูปแบบใหม่ และลักษณะเฉพาะของการสรุปธุรกรรมกับพวกเขา )
ช่องโหว่ด้านความปลอดภัยในระบบระบุตัวตน MTS
จดหมายโต้ตอบที่ดำเนินการโดยนักต้มตุ๋นในนามของผู้ประกอบการแสดงให้เห็นว่าพวกเขารู้เกี่ยวกับธุรกิจและการเดินทางเพื่อธุรกิจของเขา พวกเขาโทรหาศูนย์ติดต่อ MTS สามารถระบุตัวเองในนามของ Alexey และตั้งค่าการโอนสายได้ ผู้โจมตีสามารถรับข้อมูลหนังสือเดินทางของเขาผ่านทางวิศวกรรมสังคม Alexey Mironov เป็นผู้ก่อตั้งแฟรนไชส์ ดังนั้นผู้คนจำนวนมากที่เกี่ยวข้องกับการเปิดสถานประกอบการแฟรนไชส์จึงอาจมีข้อมูลหนังสือเดินทางของเขา MTS ดำเนินการตรวจสอบภายใน แต่ไม่สามารถระบุได้ว่าใครเป็นผู้ติดตั้งการส่งต่อและผู้โจมตีดักจับ SMS อย่างไร บริษัท ไม่ยอมรับความผิด แต่ในขณะเดียวกันก็เสนอค่าตอบแทนที่แปลกมากให้กับ Alexey - 750 รูเบิล
เราพิจารณาว่าการระบุผู้สมัครสมาชิกจากระยะไกลโดยใช้ข้อมูลส่วนบุคคลที่ถูกต้องเท่านั้นเป็นแนวทางปฏิบัติที่น่าสงสัยมากและได้เขียนคำร้องเรียนถึง Roskomnadzor เพื่อตรวจสอบการปฏิบัติตามกระบวนการของบริษัทประเภทนี้กับข้อกำหนดของกฎหมายว่าด้วยข้อมูลส่วนบุคคล เป็นผลให้ Roskomnadzor เข้าข้าง MTS โดยชี้ให้เห็นว่าการจัดการบริการการสื่อสารหลังจากระบุตัวตนระยะไกลทางโทรศัพท์ในขณะที่ให้ข้อมูลส่วนบุคคลที่ถูกต้องนั้นค่อนข้างเป็นเรื่องปกติและการสร้างวิธีการเพิ่มเติมในการป้องกันการกระทำที่ไม่ได้รับอนุญาตประเภทนี้เป็นเรื่องที่น่าปวดหัวสำหรับผู้สมัครสมาชิกเอง บริษัท (อ่านคำตอบเต็ม - )
การแฮ็กบัญชีของ Alexey Mironov ไม่ใช่กรณีแรกของการเข้าถึงข้อมูลสมาชิก MTS โดยไม่ได้รับอนุญาต ในปี 2018 มีฐานข้อมูลสมาชิก 500 ราย ผู้โจมตีสองคนในโนโวซีบีสค์ หนึ่งในนั้นเป็นพนักงานของบริษัท พวกเขาพยายามขายฐานข้อมูลในราคา 1 รูเบิลสำหรับข้อมูลของผู้สมัครสมาชิกรายหนึ่ง
ในปี 2016 มี บัญชีโทรเลขของนักเคลื่อนไหวฝ่ายค้าน Georgy Alburov และ Oleg Kozlovsky บัญชีของพวกเขาเชื่อมโยงกับหมายเลข MTS และไม่นานก่อนที่จะถูกแฮ็ก บริการ SMS ของพวกเขาถูกปิดใช้งานและเปิดใช้งานการส่งต่อ สถานการณ์ของการบุกรุกไม่ได้ถูกกำหนดไว้เช่นกัน ในปี 2019 Oleg Kozlovsky ยื่นฟ้อง MTS แต่ศาลปฏิเสธ
การปกป้องบัญชีของบริการบนเว็บและแอปพลิเคชันต่างๆ จากการแฮ็กถือเป็นความรับผิดชอบของผู้ใช้เอง ตำแหน่งนี้แชร์โดยทั้งผู้ให้บริการโทรคมนาคมและผู้กำกับดูแลเอง โดยที่พวกเขาปฏิเสธที่จะแบ่งปันความเสี่ยงเหล่านี้กับสมาชิกของตนเอง
RKN อธิบายในลักษณะนี้ในการตอบกลับ:
“ ... ตามข้อ 2.11 ของเงื่อนไข MTS เพื่อจุดประสงค์ในการระบุตัวตน สมาชิกจากผู้ให้บริการโทรคมนาคมจะได้รับโอกาสในการใช้ Code Word - ลำดับของสัญลักษณ์ (ตัวอักษร, ตัวเลข) ที่ระบุโดยสมาชิกในรูปแบบที่กำหนดโดย ผู้ประกอบการซึ่งทำหน้าที่ในการระบุตัวสมาชิกเมื่อดำเนินการตามข้อตกลง ผู้สมัครสมาชิกมีโอกาสที่จะตั้งคำรหัสทั้งในการสรุปข้อตกลง (ในกรณีนี้จะกรอกในแบบฟอร์มข้อตกลงพร้อมกับรายละเอียดที่จำเป็น) และเมื่อใดก็ได้ในระหว่างการดำเนินการตามข้อตกลง อย่างไรก็ตามเรื่องนี้ สมาชิก Mironov A.K. ไม่ได้ตั้งค่าคำรหัสก่อนการเชื่อมต่อบริการที่ถูกโต้แย้ง ภายใต้สถานการณ์ดังกล่าว เฉพาะสมาชิกเท่านั้นที่สามารถลดความเสี่ยงของผลกระทบที่ตามมาจากสถานการณ์ดังกล่าวได้ โดยการสร้างคำรหัสในระหว่างการระบุตัวตนกับผู้ให้บริการโทรคมนาคม แต่ไม่ได้ใช้ประโยชน์จากโอกาสนี้”
การกู้คืนบัญชี ภารกิจที่เป็นไปไม่ได้
มีการยื่นเรื่องร้องเรียนเกี่ยวกับการเพิกเฉยของ Roskomnadzor ต่อสำนักงานอัยการแล้ว ในขณะเดียวกัน ตำรวจยังคงนิ่งเงียบต่อรายงานอาชญากรรม ไม่มีใครรายงานสิ่งใดภายในบริษัทเกี่ยวกับผลการสอบสวนเช่นกัน เอ็มทีเอไม่ยอมรับความผิดใดๆ ไม่มีใครสนใจ. ในเวลาเดียวกัน VKontakte ยังคงปฏิเสธที่จะให้เจ้าของบัญชีกู้คืนการเข้าถึงจนกว่าเขาจะนำมติจากตำรวจเพื่อเริ่มต้นคดีอาญาโดยกำหนดข้อเท็จจริงที่ระบุและจดหมายจาก MTS ซึ่งจะยืนยันว่าบริการการเปลี่ยนเส้นทางสามารถโต้แย้งได้ ในจดหมายที่มีคำอธิบายค่อนข้างกว้างขวางยังมีข้อกำหนดที่ Mironov จะต้องแสดงใบรับรองจาก MTS ว่าเขาเป็นผู้เดียว (และอะไรคือผู้ให้บริการบางแห่งลงทะเบียนความเป็นเจ้าของหมายเลขโทรศัพท์ร่วมกัน) ผู้ใช้หมายเลขโทรศัพท์ที่เชื่อมโยงกับ หน้า. คำตอบมาถึงเมื่อปลายสัปดาห์ที่แล้ว และเนื่องจากสถานการณ์หยุดชะงักและความเป็นไปไม่ได้ที่จะบรรลุข้อตกลงกับ VKontakte เป็นเวลาหกเดือนแล้ว เราจึงต้องขึ้นศาล
วิธีป้องกันตนเองจากการถูกแฮ็ก
ผู้โจมตียังสามารถเข้าถึงการจัดการหมายเลขโทรศัพท์ผ่านช่องโหว่อื่นๆ เช่น โปรโตคอล SS7 หรือการได้รับซิมการ์ดซ้ำโดยได้รับความช่วยเหลือจากพนักงานโอเปอเรเตอร์ที่ไร้ศีลธรรม
SS7 เป็นโปรโตคอลทางเทคนิคที่ใช้โดยผู้ให้บริการโทรคมนาคม มันมีของเก่าและดูเหมือนจะไม่สามารถถอดออกได้ ซึ่งช่วยให้คุณสามารถสกัดกั้นข้อมูลที่ส่งโดยสมาชิกระหว่างการโทรหรือทาง SMS มีเพียงผู้ให้บริการเท่านั้นที่สามารถเข้าถึง SS7 ได้ แต่ผู้โจมตีสามารถเข้าถึงได้โดยการซื้อการเข้าถึงบน darknet จากผู้ให้บริการในประเทศที่ด้อยพัฒนาหรือผ่านพนักงานที่ไร้ยางอายของผู้ให้บริการโทรศัพท์มือถือ การโจมตีเกิดขึ้นเมื่อผู้โจมตีเปลี่ยนที่อยู่ระบบการเรียกเก็บเงินของสมาชิกเป็นที่อยู่ของตนเอง บ่อยครั้งที่ผู้โจมตีแจ้งระบบว่าสมาชิกอยู่ในบริการโรมมิ่งระหว่างประเทศ ดังนั้นวิธีที่ง่ายที่สุดในการป้องกันตัวเองคือการปิดการใช้งานการโรมมิ่งระหว่างประเทศหากคุณไม่ได้ใช้งาน
Alexey Mironov ยังไม่มีระบบการตรวจสอบสิทธิ์แบบสองปัจจัยที่กำหนดค่าสำหรับ Vkontakte ฟังก์ชั่นนี้ ใน VK ในเดือนมิถุนายน 2014 บางทีเธอสามารถปกป้องบัญชีของเขาจากการถูกแฮ็กได้ โปรดจำไว้ว่าการเชื่อมโยงบัญชีกับหมายเลขโทรศัพท์ไม่ใช่การตรวจสอบสิทธิ์แบบสองปัจจัย — นี่คือการป้องกันการเข้าสู่ระบบบัญชีเมื่อมีการดำเนินการอื่นนอกเหนือจากรหัสผ่าน ตัวเลือกที่พบบ่อยที่สุดคือรหัส SMS วิธีนี้ไม่น่าเชื่อถือที่สุด เนื่องจากผู้โจมตีสามารถสกัดกั้นข้อความ SMS ได้ ตัวเลือกที่ปลอดภัยยิ่งขึ้น ได้แก่ ไฟล์คีย์ รหัสชั่วคราว แอปพลิเคชันมือถือ และโทเค็นฮาร์ดแวร์
น่าเสียดายที่เราถูกบังคับให้อยู่ในยุคที่การรักษาความปลอดภัยของข้อมูลกลายเป็นปัญหาของเราเอง พวกเขาหวังว่าผู้ปฏิบัติงานจะรับผิดชอบอย่างอิสระในกรณีที่เกิดการแฮ็ก แต่ดูเหมือนว่าจะไม่เป็นเช่นนั้น เช่นเดียวกับการพึ่งพา Roskomnadzor ซึ่งแยกจากความเป็นจริงมานานแล้วในแนวทางปฏิบัติในการปกป้องข้อมูล เป็นเรื่องยากอย่างไม่น่าเชื่อที่จะเจาะเกราะของ "วัสดุปฏิเสธ" ของเจ้าหน้าที่ตำรวจท้องที่ที่จะรับใบสมัครของคุณในกรณีที่คล้ายกันโดยเฉพาะสำหรับคนธรรมดาที่ไม่รู้ว่าระบบนี้ทำงานอย่างไร สิ่งที่ยังคงอยู่? อย่าลืมเกี่ยวกับสุขอนามัยทางดิจิทัล ไว้วางใจคณิตศาสตร์ และปกป้องสิทธิ์ของคุณในศาล
ที่มา: will.com