Dolandırıcılar, MTS müşteri tanımlama sistemindeki bir güvenlik açığı nedeniyle girişimci Alexey Mironov'un VKontakte sayfasını çaldı. Sosyal ağ onu asla sahibine iade etmedi ve ondan imkansızı talep ediyor. Şimdi bunun için VKontakte'ye dava açıyor. Dijital Haklar Merkezi tarafından temsil edilmektedir.
Alexey Mironov, Jeffrey's Coffee zincirinin kurucusudur. Bu, Moskova ve bölgelerdeki kahve dükkanlarının bir franchise'ıdır. Alexey sık sık VKontakte'deki meslektaşları ve ortaklarıyla iletişim kuruyordu ve oradaki ağı için 50'den fazla aboneye sahip çok popüler bir halka açık sayfa tutuyordu.
Kasım 2018'de sabahın erken saatlerinde Alexey Çin'de bir iş gezisindeyken VKontakte sayfası hacklendi. VKontakte'den, WhatsApp'tan SMS ve MTS operatöründen başka bir numaraya yönlendirmenin ayarlandığını belirten bir mesaj aldı. Alexey yönlendirmeyi ayarlamadı, bu yüzden hemen endişelendi ve MTS'yi aradı. Gerçekten bir yönlendirmenin olduğunu hemen belirlemediler bile. Operatör, Alexey'in aramasından yalnızca iki saat sonra onu kapatabildi. MTS, yönlendirmenin nasıl ve ne zaman etkinleştirildiğine dair hiçbir veri bulamadı.
Alexey, sosyal ağlara ve anlık mesajlaşma programlarına erişimi kontrol etti ve artık telefon numarasını kullanarak bunlara giriş yapamadığını gördü. Bilgisayar korsanları hesaplarına başka bir numara bağladı. WhatsApp ile sorun hızlı bir şekilde çözüldü. İletimi iptal ettikten hemen sonra, messenger, hesaba erişimi hak sahibine geri verdi.
Alexey, VKontakte desteğine yazarak sayfayı iade etmesini istedi ve pasaportunun bir fotoğrafını gönderdi. Akşam, mevcut sahibin erişim hakkını onaylaması nedeniyle başvurunun reddedildiğini belirten bir SMS aldı.
Bir teknik destek uzmanı, Alexey'in kendi sayfasına erişimi gönüllü olarak üçüncü taraflara devredebileceğini, dolayısıyla erişimini geri getirmeyeceklerini belirtti. Alexey bilgisayar korsanlığı durumunu açıkladı, ancak MTS'den operatörün bir saldırının meydana geldiğini doğrulayacağı bir onay mektubu göndermesi istendi. Alexey MTS'den bir mektup verdi. Bunun üzerine VKontakte yönetimi bu mektubun polis tarafından onaylanmasını talep etti. Bu şartın yerine getirilmesi çok zordur çünkü mektupları ve imza sahibinin kimlik bilgilerini tasdik etmek polisin görevi değildir. Alexey, saldırıya uğrayan sayfayı ancak kişisel olarak VKontakte çalışanlarından bunu yapmasını isteyerek engelleyebildi. Sayfa henüz iade edilmedi. Alexey'in başardığı tek şey hesabını engellemekti. Artık ne dolandırıcılar ne de kendisi kullanabiliyor.
VKontakte destek hizmeti farklı bir hikaye. Yalnızca yetkili kullanıcılar VKontakte destek hizmetiyle iletişime geçebilir. Bu, sayfanıza erişimi kaybederseniz, yeni bir sayfa oluşturmanız veya destek yazmak için arkadaşlarınızdan sayfalarına erişim vermelerini istemeniz gerektiği anlamına gelir. Alexey, eşinin sayfasındaki destek hizmeti uzmanlarıyla yazıştı ve bu onları rahatsız etmedi, ancak Kullanıcı Sözleşmesi kullanıcı adının ve şifrenin başka birine aktarılmasına izin vermiyor.
Sayfanın hacklenmesi ve hesaba ve halka açık sayfaya erişimin daha fazla kaybedilmesi, açıkça hem Alexey'in ticari itibarına hem de mülkiyet çıkarlarına zarar verdi. Bunun önemli miktarda kişisel ve ticari bilginin bilinmeyen yerlere sızmasına izin verdiğini söylemeye bile gerek yok. İş adamının hesabındaki dolandırıcılar, arkadaşlarından kendilerine yüklü miktarda para aktarmalarını istedi. Bir kişi onlara 34 bin ruble transfer etti. Saldırganlar, Alexey'in hesabındaki kişisel bilgilere XNUMX saat boyunca erişebildi.
VKontakte'ye dava
Alexey Mironov, St. Petersburg Smolninsky Bölge Mahkemesinde sosyal ağ VKontakte'ye karşı dava açtı ve şu anda davanın atanmasını bekliyor. Mahkemeden, sosyal ağın Kullanıcı Sözleşmesi şeklinde imzalanan kendi sözleşmesini yerine getirmesini ve sayfasına erişimini iade etmesini zorunlu kılmasını ister. VKontakte yönetimi bugüne kadar Alexey'i makul olmayan bir şekilde hesabına erişimden mahrum etmeye devam ederken, o da Kullanıcı Sözleşmesinin şartlarına titizlikle uydu ve sosyal ağın teknik destek servisini hack hakkında derhal bilgilendirdi. VKontakte, Kullanıcı Sözleşmesinde kullanıcıların sayfa giriş bilgilerini ve şifrelerini üçüncü taraflara aktarmalarını yasaklayan bir maddeyi öne sürerek sayfaya erişimini geri yüklemeyi reddetti. Alexey'in konuştuğu VKontakte destek temsilcisi, telefon numarası yönlendirmeyi yalnızca operatörün ofisini ziyaret ederek ve pasaportunuzu ibraz ederek ayarlayabileceğinizi belirtti. Aslında durum böyle değil ve bu, Alexey'in temyizine yanıt olarak Roskomnadzor tarafından doğrulandı.
Sosyal ağ, Kullanıcı Sözleşmesini ihlal ederek Alexey'in sayfasının kullanımına erişimini makul olmayan bir şekilde sınırladı. Bu, Sanatın 1. paragrafını ihlal eden yükümlülükleri yerine getirmenin tek taraflı bir reddidir. 30 Rusya Federasyonu Medeni Kanunu. VK, onu hesabına erişimden mahrum bırakarak, Alexey'i kendisi için önemli bir maddi olmayan varlık olan genel sayfasını yönetme hakkından da mahrum etti. (Yeni bir dijital mülkiyet biçimi olarak kamu piyasası ve bunlarla işlem yapmanın özellikleri hakkında yazdık. )
MTS tanımlama sistemindeki güvenlik açıkları
Dolandırıcıların girişimci adına yaptığı yazışmalar onun işini ve iş gezisini bildiklerini gösteriyor. MTS iletişim merkezini aradılar, kendilerini Alexey adına tanıtabildiler ve çağrı yönlendirmeyi ayarlayabildiler. Saldırganlar onun pasaport verilerini sosyal mühendislik yoluyla elde edebilir. Franchise'ın kurucusu Alexey Mironov olduğundan, franchise kuruluşlarının açılmasına katılan birçok kişi onun pasaport bilgilerine sahip olabilir. MTS dahili bir araştırma yürüttü ancak yönlendirmeyi tam olarak kimin yüklediğini ve saldırganın SMS'i nasıl ele geçirdiğini belirleyemedi. Şirket suçu kabul etmedi, ancak aynı zamanda Alexey'e çok garip bir tazminat teklif etti - 750 ruble.
Bir aboneyi yalnızca doğru kişisel verileri kullanarak uzaktan tanımlamanın çok şüpheli bir uygulama olduğunu düşündük ve bu tür şirket işlemlerinin kişisel verilere ilişkin mevzuatın gerekliliklerine uygunluğunu doğrulamak için Roskomnadzor'a bir şikayet yazdık. Sonuç olarak Roskomnadzor, MTS'nin yanında yer aldı ve doğru kişisel verileri sağlarken telefonla uzaktan tanımlama sonrasında iletişim hizmetlerini yönetmenin oldukça normal olduğunu ve bu tür yetkisiz eylemlere karşı ek koruma yöntemleri oluşturmanın abonenin kendisi için bir baş ağrısı olduğunu belirtti. şirket. (cevabın tamamını okuyun - )
Alexey Mironov'un hesabının hacklenmesi, MTS abone verilerine yetkisiz erişimin ilk durumu değil. 2018 yılında 500 bin abonelik veri tabanı Novosibirsk'te biri şirket çalışanı olan iki saldırgan. Veritabanını bir abonenin verisi için 1 ruble fiyatla satmaya çalıştılar.
2016'de vardı Muhalefet aktivistleri Georgy Alburov ve Oleg Kozlovsky'nin telgraf hesapları. Hesapları MTS numaralarına bağlandı ve hacklenmeden kısa bir süre önce SMS hizmetleri devre dışı bırakıldı ve yönlendirme etkinleştirildi. Ayrıca zorla girmenin koşulları da belirlenmedi. 2019 yılında Oleg Kozlovsky MTS'ye dava açtı ancak mahkeme bunu reddetti.
Çeşitli web hizmetlerine ve uygulamalara ait hesapların hacklenmeye karşı korunması kullanıcının sorumluluğundadır. Bu pozisyon hem telekom operatörleri hem de düzenleyicinin kendisi tarafından paylaşılıyor ve buna göre bu riskleri kendi aboneleriyle paylaşmayı reddediyorlar.
RKN yanıtında bunu şu şekilde açıklıyor:
“... MTS Koşullarının 2.11. maddesine göre, tanımlama amacıyla, telekom operatörünün abonelerine, Abone tarafından belirlenen biçimde belirtilen bir dizi sembol (harfler, sayılar) olan bir Kod Kelimesi kullanma fırsatı verilir. Sözleşmeyi imzalarken Aboneyi tanımlamaya yarayan Operatör. Abone, hem bir sözleşme imzalarken (bu durumda zorunlu ayrıntılarla birlikte sözleşme formuna girilir) hem de sözleşmenin yürütülmesi sırasında herhangi bir zamanda bir kod sözcüğü belirleme olanağına sahiptir. Buna rağmen abone Mironov A.K. Hizmetin tartışmalı bağlantısından önce kod sözcüğü ayarlanmamıştı. Bu durumda ancak abone, telekom operatörüyle kimlik tespiti sırasında şifre oluşturarak bu gibi durumların olumsuz sonuçlanma riskini ortadan kaldırabilirdi ancak bu fırsattan yararlanamadı."
Hesap kurtarma. İmkansız görev
Roskomnadzor'un eylemsizliğine ilişkin şikayet zaten savcılığa sunuldu. Bu arada polis suç duyurusu konusunda sessizliğini sürdürüyor. Soruşturmanın sonuçlarıyla ilgili şirket içinden de kimse bilgi vermiyor. MTS herhangi bir suçu kabul etmiyor. Kimse umursamaz. Aynı zamanda VKontakte, hesap sahibinin, polisten belirtilen gerçekleri belirleyen bir ceza davası başlatmak için bir Karar ve yönlendirme hizmetinin tartışılabilir olduğunu doğrulayacak MTS'den bir mektup getirene kadar hesap sahibine erişimi geri yüklemesini reddetmeye devam ediyor. Oldukça kapsamlı açıklamalar içeren mektupta, Mironov'un ayrıca MTS'den, kendisine bağlı telefon numarasının tek kullanıcısı olduğuna (ve ne, operatörler telefon numaralarının ortak mülkiyetini kaydettirdiği bir yerde mi?) olduğuna dair bir sertifika sunması zorunluluğu da var. sayfa. Yanıt geçen haftanın sonunda geldi ve durumun çıkmaza girmesi ve VKontakte ile altı aydır anlaşmaya varılmasının imkansızlığı göz önüne alındığında mahkemeye gittik.
Kendinizi bilgisayar korsanlığından nasıl korursunuz
Saldırganlar ayrıca SS7 protokolü veya vicdansız operatör çalışanlarının yardımıyla kopya bir SIM kart elde etme gibi diğer güvenlik açıkları aracılığıyla bir telefon numarasını yönetmeye de erişim sağlayabilirler.
SS7 telekom operatörleri tarafından kullanılan teknik bir protokoldür. Eski ve görünüşe göre kaldırılamaz bir şey içeriyor Bu, bir çağrı sırasında veya SMS yoluyla aboneler tarafından iletilen verilere müdahale etmenize olanak tanır. SS7'ye yalnızca operatörler erişebilir, ancak saldırganlar, az gelişmiş ülkelerdeki operatörlerden veya mobil operatörlerin vicdansız çalışanlarından darknet üzerinden erişim satın alarak buna erişebilirler. Bir saldırgan, abonenin fatura sistemi adresini kendi adresiyle değiştirdiğinde bir saldırı meydana gelir. Çoğu zaman saldırganlar, abonenin uluslararası dolaşımda olduğunu sisteme bildirir, bu nedenle kendinizi korumanın en kolay yolu, kullanmıyorsanız uluslararası dolaşımı devre dışı bırakmaktır.
Alexey Mironov'un henüz Vkontakte için yapılandırılmış iki faktörlü bir kimlik doğrulama sistemi yoktu. Bu işlev Haziran 2014'te VK'da. Belki de hesabını saldırıya uğramaktan koruyabilirdi. Bir hesabı bir telefon numarasına bağlamanın iki faktörlü kimlik doğrulama olmadığını hatırlamakta fayda var. — bu, şifreye ek olarak başka bir işlem gerçekleştirildiğinde hesaba giriş yapılmasının korunmasıdır. En yaygın seçenek bir SMS kodudur. Saldırganlar SMS mesajını ele geçirebileceğinden bu yöntem en güvenilir yöntem değildir. Daha güvenli seçenekler arasında anahtar dosyası, geçici kodlar, mobil uygulama ve donanım belirteci yer alır.
Ne yazık ki veri güvenliğini sağlamanın bizim sorunumuz haline geldiği bir çağda yaşamak zorunda kalıyoruz. Bir hack durumunda operatörlerin sorumluluğu bağımsız olarak üstleneceklerini umuyorlar, ancak görünen o ki durum böyle değil. Veri koruma uygulamalarında uzun süredir gerçeklikten kopmuş olan Roskomnadzor'a güvenmenin yanı sıra. Benzer bir durumda başvurunuzu alacak yerel polis memurunun "reddetme materyalinin" zırhını kırmak, özellikle de bu sistemin nasıl çalıştığını bilmeyen sıradan bir kişi için inanılmaz derecede zordur. Ne anlamda? Dijital hijyeni unutmayın, matematiğe güvenin ve haklarınızı mahkemede savunun.
Kaynak: habr.com