Ninakaw ng mga manloloko ang pahina ng VKontakte ng negosyanteng si Alexey Mironov dahil sa isang kahinaan sa sistema ng pagkakakilanlan ng customer ng MTS. Hindi na ito ibinalik ng social network sa may-ari nito at hinihingi sa kanya ang imposible. Ngayon ay idinemanda niya ang VKontakte para dito. Siya ay kinakatawan ng Center for Digital Rights.
Si Alexey Mironov ang nagtatag ng Jeffrey's Coffee chain. Ito ay isang prangkisa ng mga coffee shop sa Moscow at sa mga rehiyon. Madalas na nakikipag-usap si Alexey sa mga kasamahan at kasosyo sa VKontakte at pinananatili ang isang napaka-tanyag na pampublikong pahina para sa kanyang network doon, na may bilang na higit sa 50 mga tagasuskribi.
Noong Nobyembre 2018, madaling araw, nang si Alexey ay nasa isang business trip sa China, ang kanyang VKontakte page ay na-hack. Nakatanggap siya ng SMS mula sa VKontakte, WhatsApp at isang mensahe mula sa operator ng MTS, na nagsabi na ang pagpapasa sa isa pang numero ay na-set up. Si Alexey ay hindi nag-set up ng pagpapasa, kaya agad siyang nag-alala at tumawag sa MTS. Hindi man lang nila natukoy kaagad na mayroon ngang pag-redirect. Nagawa itong i-off ng operator dalawang oras lamang matapos ang tawag ni Alexey. Walang nakitang data ang MTS kung paano at kailan na-activate ang pagpapasa.
Sinuri ni Alexey ang access sa mga social network at instant messenger at nakitang hindi na siya makakapag-log in sa kanila gamit ang kanyang numero ng telepono. Ang mga hacker ay nag-link ng isa pang numero sa kanyang mga account. Sa WhatsApp ang isyu ay nalutas nang mabilis. Kaagad pagkatapos kanselahin ang pagpapasa, ibinalik ng messenger ang access sa account sa nararapat na may-ari.
Sumulat si Alexey sa suporta ng VKontakte na humihiling na ibalik ang pahina at nagpadala ng larawan ng kanyang pasaporte. Sa gabi ay nakatanggap siya ng SMS na tinanggihan ang aplikasyon, dahil kinumpirma ng kasalukuyang may-ari ang karapatan ng pag-access.
Sinabi ng isang espesyalista sa teknikal na suporta na maaaring boluntaryong ilipat ni Alexey ang pag-access sa kanyang pahina sa mga ikatlong partido, kaya hindi nila ibabalik ang kanyang pag-access. Ipinaliwanag ni Alexey ang sitwasyon ng pag-hack, ngunit hiniling sa kanya na magpadala ng isang liham ng kumpirmasyon mula sa MTS, kung saan kumpirmahin ng operator na naganap ang isang hack. Nagbigay si Alexey ng liham mula sa MTS. Pagkatapos nito, hiniling ng administrasyong VKontakte na ang liham na ito ay sertipikado ng pulisya. Napakahirap tuparin ang kahilingang ito dahil hindi tungkulin ng pulisya na patunayan ang mga liham at kredensyal ng pumirma. Nagawa ni Alexey na harangan ang na-hack na pahina sa pamamagitan lamang ng personal na pagtatanong sa mga empleyado ng VKontakte na alam niya ang tungkol dito. Hindi pa naibabalik ang page. Ang tanging nakamit ni Alexey ay ang pagharang sa kanyang account. Ngayon hindi na ito magagamit ng mga manloloko o siya mismo.
Ang serbisyo ng suporta sa VKontakte ay ibang kuwento. Ang mga awtorisadong gumagamit lamang ang maaaring makipag-ugnay sa serbisyo ng suporta ng VKontakte. Nangangahulugan ito na kung nawalan ka ng access sa iyong pahina, dapat kang lumikha ng bago o hilingin sa iyong mga kaibigan na magbigay ng access sa kanilang mga pahina upang magsulat bilang suporta. Nakipag-ugnayan si Alexey sa mga espesyalista sa serbisyo ng suporta mula sa pahina ng kanyang asawa, at hindi ito nag-abala sa kanila, kahit na hindi pinapayagan ng Kasunduan sa Gumagamit na ilipat ang pag-login at password sa ibang tao.
Ang pag-hack ng page at karagdagang pagkawala ng access sa account at pampublikong page ay halatang nasira ang reputasyon sa negosyo ni Alexey at ang kanyang mga interes sa ari-arian. Hindi banggitin na pinahintulutan nito ang isang malaking halaga ng personal at komersyal na impormasyon na tumagas sa hindi kilalang mga destinasyon. Hiniling ng mga manloloko mula sa account ng negosyante sa kanyang mga kaibigan na ilipat sila ng malaking halaga ng pera. Isang tao ang naglipat sa kanila ng 34 libong rubles. Ang mga umaatake ay may access sa personal na impormasyon mula sa account ni Alexey sa loob ng XNUMX na oras.
Demanda laban sa VKontakte
Si Alexey Mironov ay nagsampa ng kaso laban sa social network na VKontakte sa Smolninsky District Court ng St. Petersburg at ngayon ay naghihintay ng pagtatalaga ng kaso. Hinihiling niya sa korte na obligahin ang social network na tuparin ang sarili nitong kasunduan, na nagtapos sa anyo ng isang Kasunduan sa Gumagamit, at ibalik sa kanya ang access sa kanyang pahina. Hanggang ngayon, ang pangangasiwa ng VKontakte ay patuloy na inaalis kay Alexey ang pag-access sa kanyang account nang hindi makatwiran, habang siya ay tapat na sumunod sa mga tuntunin ng Kasunduan ng Gumagamit at agad na ipinaalam sa serbisyo ng teknikal na suporta ng social network tungkol sa pag-hack. Tumanggi ang VKontakte na ibalik ang kanyang pag-access sa pahina, na binanggit ang isang sugnay sa Kasunduan ng Gumagamit na nagbabawal sa mga gumagamit na ilipat ang kanilang pag-login at password sa pahina sa mga ikatlong partido. Ang ahente ng suporta ng VKontakte na kinausap ni Alexey ay nagsabi na maaari mong i-set up ang pagpapasa ng numero ng telepono sa pamamagitan lamang ng pagbisita sa opisina ng operator at pagpapakita ng iyong pasaporte. Sa katunayan, hindi ito ang kaso, at ito ay kinumpirma ng Roskomnadzor bilang tugon sa apela ni Alexey.
Ang social network, na lumalabag sa Kasunduan ng Gumagamit, ay hindi makatwirang limitado ang pag-access ni Alexey sa paggamit ng kanyang pahina. Ito ay isang unilateral na pagtanggi na tuparin ang mga obligasyon, na lumalabag sa talata 1 ng Art. 30 Civil Code ng Russian Federation. Sa pamamagitan ng pag-alis sa kanya ng access sa kanyang account, inalis din ng VK si Alexey ng mga karapatang pangasiwaan ang kanyang pampublikong pahina, na isang mahalagang hindi nasasalat na asset para sa kanya. (Isinulat namin ang tungkol sa pampublikong merkado bilang isang bagong anyo ng digital na ari-arian at ang mga kakaiba ng pagtatapos ng mga transaksyon sa kanila )
Mga butas sa seguridad sa MTS identification system
Ang mga sulat na isinagawa ng mga scammer sa ngalan ng negosyante ay nagpapakita na alam nila ang tungkol sa kanyang negosyo at paglalakbay sa negosyo. Tumawag sila sa contact center ng MTS, nakilala ang kanilang sarili sa ngalan ni Alexey at nag-set up ng pagpapasa ng tawag. Maaaring makuha ng mga attacker ang kanyang passport data sa pamamagitan ng social engineering. Si Alexey Mironov ang nagtatag ng prangkisa, kaya maraming tao na kasangkot sa pagbubukas ng mga establisyemento ng prangkisa ang maaaring magkaroon ng impormasyon ng kanyang pasaporte. Nagsagawa ng panloob na pagsisiyasat ang MTS, ngunit hindi matukoy kung sino ang eksaktong nag-install ng pagpapasa at kung paano na-intercept ng attacker ang SMS. Ang kumpanya ay hindi umamin ng pagkakasala, ngunit sa parehong oras ay nag-alok kay Alexey ng isang kakaibang kabayaran - 750 rubles.
Isinasaalang-alang namin na ang pagkilala sa isang subscriber nang malayuan gamit lamang ang tamang personal na data ay isang napaka-kaduda-dudang kasanayan at nagsulat ng isang reklamo sa Roskomnadzor upang i-verify ang pagsunod ng ganitong uri ng proseso ng kumpanya sa mga kinakailangan ng batas sa personal na data. Bilang resulta, ang Roskomnadzor ay pumanig sa MTS, na itinuturo na ang pamamahala ng mga serbisyo ng komunikasyon pagkatapos ng malayuang pagkakakilanlan sa pamamagitan ng telepono habang nagbibigay ng tamang personal na data ay medyo normal, at ang pagtatatag ng mga karagdagang pamamaraan ng proteksyon laban sa ganitong uri ng mga hindi awtorisadong aksyon ay isang sakit ng ulo para sa mismong subscriber, hindi ang kumpanya. (basahin ang buong sagot - )
Ang pag-hack ng account ni Alexey Mironov ay hindi ang unang kaso ng hindi awtorisadong pag-access sa data ng subscriber ng MTS. Sa 2018, ang database ng 500 libong mga tagasuskribi sa Novosibirsk dalawang umaatake, isa sa kanila ay empleyado ng kumpanya. Sinubukan nilang ibenta ang database sa presyong 1 ruble para sa data ng isang subscriber.
Noong 2016 mayroong Telegram account ng mga aktibistang oposisyon na sina Georgy Alburov at Oleg Kozlovsky. Na-link ang kanilang mga account sa mga numero ng MTS, at ilang sandali bago ang hack, hindi pinagana ang kanilang serbisyo sa SMS at pinagana ang pagpapasa. Ang mga pangyayari ng break-in ay hindi rin naitatag. Noong 2019, nagsampa ng kaso si Oleg Kozlovsky laban sa MTS, ngunit tinanggihan ito ng korte.
Ang pagprotekta sa mga account ng iba't ibang serbisyo sa web at application mula sa pag-hack ay responsibilidad ng user mismo. Ang posisyon na ito ay ibinabahagi ng parehong mga operator ng telecom at ang regulator mismo, ayon sa kung saan tumanggi silang ibahagi ang mga panganib na ito sa kanilang sariling mga subscriber.
Inilarawan ito ng RKN sa ganitong paraan sa tugon nito:
β... Ayon sa sugnay 2.11 ng Mga Kondisyon ng MTS, para sa mga layunin ng pagkakakilanlan, ang mga subscriber mula sa telecom operator ay binibigyan ng pagkakataong gumamit ng Code Word - isang pagkakasunud-sunod ng mga simbolo (mga titik, numero) na tinukoy ng Subscriber sa form na itinatag ng ang Operator, na nagsisilbing kilalanin ang Subscriber kapag isinasagawa ang Kasunduan. Ang subscriber ay may pagkakataon na magtakda ng isang code word kapwa kapag nagtatapos ng isang kasunduan (sa kasong ito ay ipinasok ito sa form ng kasunduan kasama ang mga mandatoryong detalye) at sa anumang oras sa panahon ng pagpapatupad ng kasunduan. Sa kabila nito, ang subscriber na si Mironov A.K. hindi naitakda ang code word bago ang pinagtatalunang koneksyon ng serbisyo. Sa ilalim ng gayong mga kalagayan, tanging ang subscriber, sa pamamagitan ng pagtatatag ng isang code word sa panahon ng pagkakakilanlan sa operator ng telecom, ay maaaring neutralisahin ang panganib ng masamang kahihinatnan mula sa gayong mga sitwasyon, ngunit hindi sinamantala ang pagkakataong ito.
Pagbawi ng Account. Imposibleng misyon
Ang isang reklamo tungkol sa hindi pagkilos ng Roskomnadzor ay naihain na sa opisina ng tagausig. Samantala, nananatiling tahimik ang pulisya sa ulat ng krimen. Walang nag-uulat ng kahit ano sa loob ng kumpanya tungkol sa mga resulta ng pagsisiyasat. Ang MTS ay hindi umaamin ng anumang pagkakasala. Walang may pakialam. Kasabay nito, patuloy na tinatanggihan ng VKontakte ang may-ari ng account na ibalik ang pag-access dito hanggang sa magdala siya mula sa pulisya ng isang Resolusyon upang simulan ang isang kriminal na kaso na nagtatatag ng mga tinukoy na katotohanan at isang liham mula sa MTS, na magpapatunay na ang serbisyo sa pag-redirect ay maaaring labanan. Sa liham na may medyo malawak na mga paliwanag, mayroon ding kinakailangan na si Mironov ay dapat ding magbigay ng isang sertipiko mula sa MTS na siya ang nag-iisang (at ano, kung saan ang mga operator ay nagrerehistro ng magkasanib na pagmamay-ari ng mga numero ng telepono?) na gumagamit ng numero ng telepono na naka-link sa ang pahina. Dumating ang tugon sa pagtatapos ng nakaraang linggo, at binigyan ng deadlock sa sitwasyon at ang imposibilidad na maabot ang isang kasunduan sa VKontakte sa loob ng anim na buwan na ngayon, nagpunta kami sa korte.
Paano protektahan ang iyong sarili mula sa pag-hack
Ang mga umaatake ay maaari ding makakuha ng access sa pamamahala ng isang numero ng telepono sa pamamagitan ng iba pang mga kahinaan - ang SS7 protocol o pagkuha ng duplicate na SIM card sa tulong ng mga walang prinsipyong empleyado ng operator.
Ang SS7 ay isang teknikal na protocol na ginagamit ng mga operator ng telecom. Naglalaman ito ng luma at tila hindi naaalis , na nagbibigay-daan sa iyong harangin ang data na ipinadala ng mga subscriber sa panahon ng isang tawag o sa pamamagitan ng SMS. Ang mga operator lang ang may access sa SS7, ngunit ang mga umaatake ay makakakuha nito sa pamamagitan ng pagbili ng access sa darknet mula sa mga operator sa mga atrasadong bansa o sa pamamagitan ng mga walang prinsipyong empleyado ng mga mobile operator. Nangyayari ang isang pag-atake kapag binago ng isang umaatake ang address ng system ng pagsingil ng subscriber sa sarili niyang address. Kadalasan, ipinapaalam ng mga umaatake sa system na ang subscriber ay nasa international roaming, kaya ang pinakamadaling paraan para protektahan ang iyong sarili ay ang huwag paganahin ang international roaming kung hindi mo ito gagamitin.
Si Alexey Mironov ay wala pang dalawang-factor na sistema ng pagpapatunay na na-configure para sa Vkontakte. Ang function na ito sa VK noong Hunyo 2014. Marahil ay mapoprotektahan niya ang kanyang account mula sa pag-hack. Ito ay nagkakahalaga ng pag-alala na ang simpleng pag-link ng isang account sa isang numero ng telepono ay hindi two-factor authentication. β ito ang proteksyon ng pag-login sa isang account kapag, bilang karagdagan sa password, isa pang aksyon ang isinagawa. Ang pinakakaraniwang opsyon ay isang SMS code. Ang pamamaraang ito ay hindi ang pinaka-maaasahan, dahil maaaring harangin ng mga umaatake ang mensaheng SMS. Ang mga mas secure na opsyon ay isang key file, pansamantalang code, isang mobile application at isang hardware token.
Sa kasamaang palad, napipilitan kaming mamuhay sa isang panahon kung saan ang pagtiyak sa seguridad ng data ay magiging sarili naming problema. Inaasahan nila na ang mga operator ay independiyenteng mananagot sa kaganapan ng isang hack, ngunit tila hindi ito ang kaso. Pati na rin ang pag-asa sa Roskomnadzor, na matagal nang nahiwalay sa realidad sa mga kasanayan nito sa proteksyon ng data. Napakahirap na masira ang sandata ng "materyal ng pagtanggi" ng lokal na opisyal ng pulisya na tatanggap ng iyong aplikasyon sa isang katulad na kaso, lalo na para sa isang ordinaryong tao na hindi alam kung paano gumagana ang sistemang ito. Ano ang natitira? Huwag kalimutan ang tungkol sa digital hygiene, magtiwala sa matematika at ipagtanggol ang iyong mga karapatan sa korte.
Pinagmulan: www.habr.com