Шахраї вкрали сторінку ВКонтакті підприємця Олексія Миронова через вразливість у системі ідентифікації клієнтів МТС. Соціальна мережа не повернула її власнику і вимагає від нього нездійсненного. Наразі він подає за це на ВКонтакті до суду. Його інтереси представляє Центр цифрових прав.
Олексій Миронов – засновник мережі Jeffrey's Coffee. Це франшиза кав'ярень у Москві та регіонах. Олексій часто спілкувався з колегами та партнерами ВКонтакте та вів там дуже популярний паблік своєї мережі, що налічує понад 50 000 передплатників.
У листопаді 2018 року, рано-вранці, коли Олексій перебував у відрядженні в Китаї, його сторінку ВКонтакте зламали. Йому прийшли SMS від ВКонтакте, WhatsApp та повідомлення від оператора МТС, в якому говорилося, що налаштовано переадресацію на інший номер. Олексій переадресацію не налаштовував, тож одразу занепокоївся та зателефонував до МТС. Там навіть не одразу визначили, що переадресація справді є. Відключити її оператор зміг лише за дві години після дзвінка Олексія. У МТС так і не знайшли дані про те, як і коли було підключено переадресацію.
Олексій перевірив доступ до соцмереж та месенджерів і побачив, що увійти в них за номером телефону вже не може. Зломщики прив'язали до його облікових записів інший номер. З WhatsApp питання вирішилося швидко. Відразу після скасування переадресації месенджер відновив доступ до облікового запису законного власника.
Олексій написав на підтримку ВКонтакті з проханням повернути сторінку та надіслав фото паспорта. Увечері йому надійшло SMS, що заявку відхилено, оскільки поточний власник підтвердив право доступу.
Фахівець служби техпідтримки заявив, що Олексій добровільно міг передати доступ до своєї сторінки третім особам, тому відновлювати йому не будуть доступу. Олексій пояснив ситуацію зі зломом, але в нього попросили на підтвердження надіслати листа з МТС, в якому оператор підтверджував би, що стався злом. Лист від МТС Олексій надав. Після цього адміністрація ВКонтакте вимагала запевнити цей лист у поліції. Таку вимогу дуже складно виконати, бо засвідчення листів та повноважень підписувача — це не функція поліції. Заблокувати зламану сторінку Олексій зміг лише особисто попросивши про це знайомих співробітників ВКонтакте. Сторінку не повернули й досі. Єдине, чого досяг Олексій, — блокування акаунту. Тепер не можуть користуватися ні шахраї, ні він сам.
Служба підтримки ВКонтакте – це окрема історія. Зі службою підтримки ВКонтакті можуть зв'язатися лише авторизовані користувачі. Це означає, що якщо ви втратили доступ до своєї сторінки, ви повинні створити нову або попросити друзів дати доступ до їхніх сторінок, щоб написати на підтримку. Олексій листувався зі спеціалістами служби підтримки зі сторінки дружини, і це не збентежило їх, хоча Угода не дозволяє передавати логін і пароль комусь ще.
Злом сторінки та подальша втрата доступу до облікового запису та паблика, очевидно, завдали шкоди як діловій репутації Олексія, так і його майновим інтересам. Не говорячи про те, що це дозволило втекти значному масиву особистої та комерційної інформації незрозуміло куди. Шахраї з облікового запису бізнесмена просили у його знайомих переказати їм великі суми грошей. Одна людина перевела їм 34 тисячі рублів. Зловмисники на добу мали доступ до особистої інформації облікового запису Олексія.
Позов проти ВКонтакті
Олексій Миронов подав позов до соціальної мережі ВКонтакті до Смольнінського районного суду міста Санкт-Петербурга і тепер очікує на призначення справи. Він просить суд зобов'язати соціальну мережу виконати власний договір, укладений у формі Угоди користувача і повернути йому доступ до своєї сторінки. Адміністрація ВКонтакте досі продовжує позбавляти Олексія доступу до облікового запису необґрунтовано, тоді як він сумлінно виконував умови Угоди користувача і відразу повідомив службу технічної підтримки соцмережі про злом. ВКонтакте відмовилася відновлювати йому доступ до сторінки, посилаючись на пункт Угоди користувача, який забороняє користувачам передавати логін і пароль їх сторінки третім особам. Агент підтримки ВКонтакте, з яким спілкувався Олексій, заявив, що налаштувати переадресацію телефонного номера можна лише при відвідуванні офісу оператора та пред'явленні паспорта. Насправді це не так, і це підтвердив Роскомнагляд у відповідь на звернення Олексія.
Соціальна мережа, порушуючи Угоду користувача, необґрунтовано обмежила доступ Олексія до використання його сторінки. Це одностороння відмова від виконання зобов'язань, яка порушує п. 1 ст. 30 ЦК України. Позбавляючи його доступу до облікового запису, ВК також позбавила Олексія і прав адміністрування пабліка, що належить йому, що є для нього важливим нематеріальним активом. (Про ринок пабліків як нової форми цифрового майна та особливості укладання угод з ними ми писали )
Діри безпеки в системі ідентифікації МТС
За листуванням, яке вели шахраї від імені підприємця, видно, що вони знали про його бізнес та відрядження. Вони зателефонували до контактного центру МТС, змогли ідентифікуватися від імені Олексія та налаштували переадресацію. Зловмисники могли отримати його паспортні дані через соціальний інжиніринг. Олексій Миронов – засновник франшизи, тому його паспортні дані могли бути у багатьох людей, які займаються відкриттям закладів франшизи. МТС провела внутрішнє розслідування, але не змогла встановити, хто саме встановив переадресацію та як зловмисник перехопив СМС. Компанія не визнала провину, але при цьому запропонувала Олексію дуже дивну компенсацію – 750 рублів.
Ми порахували, що ідентифікація абонента віддалено лише за коректними персональними даними є дуже сумнівною практикою і написали скаргу в Роскомнагляд про перевірку відповідності такого процесу компанії вимогам законодавства про персональні дані. В результаті Роскомнагляд став на бік МТС, вказавши, що керувати послугами зв'язку після віддаленої ідентифікації по телефону при наданні коректних персональних даних - це цілком нормальне явище, а встановлення додаткових способів захисту від таких неавторизованих дій - це головний біль самого абонента, а не компанії . (читати повну відповідь )
Зламування облікового запису Олексія Миронова — не перший випадок несанкціонованого доступу до даних абонентів МТС. 2018 року базу даних 500 тисяч абонентів у Новосибірську двоє зловмисників, один із яких був співробітником компанії. Вони намагалися продати базу за ціною 1 карбованець за дані одного абонента.
У 2016 році були телеграм-акаунти опозиційних активістів Георгія Албурова та Олега Козловського. Їхні акаунти були прив'язані до номерів МТС, і незадовго до злому на них було відключено послугу SMS та включено переадресацію. Обставини злому також не було встановлено. 2019 року Олег Козловський подав позов проти МТС, але суд його відхилив.
Захист облікових записів різних веб-сервісів та програм від злому відноситься до відповідальності самого користувача. Такої позиції дотримуються і оператори зв'язку, і сам регулятор, за якою вони й відмовляються розділяти ці ризики з власним абонентом.
РКН у своїй відповіді описує це так:
“… Відповідно до п.2.11 Умов МТС абонентам для цілей ідентифікації у оператора зв'язку надається можливість використання Кодового слова — вказаної Абонентом у встановленій Оператором формі послідовності символів (літер, цифр), що служить для ідентифікації Абонента при виконанні Договору. Абонент має можливість встановити кодове слово як під час укладання договору (у разі воно вноситься у бланк договору поруч із обов'язковими реквізитами), і у будь-який момент виконання договору. Попри це, абонентом Мироновим А.К. кодове слово до моменту оскаржуваного підключення послуги не встановлювалося. За таких обставин лише абонент за допомогою встановлення кодового слова при ідентифікації у оператора зв'язку міг нівелювати ризик несприятливих наслідків від таких ситуацій, проте цією можливістю не скористався”.
Відновлення акаунту. Mission imposible
Скаргу на бездіяльність Роскомнагляду до прокуратури вже подано. Тим часом поліція продовжує мовчати за заявою про злочин. Про результати розслідування усередині компанії також ніхто нічого не повідомляє. МТС жодної вини не визнає. Нікому немає жодної справи. При цьому, ВКонтакте продовжує відмовляти власнику акаунту у відновленні доступу до нього, доки він не принесе з поліції Постанову про порушення кримінальної справи із встановленням зазначених фактів та листа від МТС, в якому буде підтвердження оскарження послуги з переадресації. У листі з досить широкими поясненнями є ще вимога, що Миронов також має надати довідку від МТС, що він є одноосібним (а що, десь оператори оформлюють спільну власність на номери телефонів?) користувачем номера телефону, прив'язаного до сторінки. Відповідь надійшла наприкінці минулого тижня, і з огляду на всю безвихідь ситуації та неможливість домовитися з ВКонтакті протягом вже півроку, ми й звернулися до суду.
Як убезпечити себе від злому
Отримати доступ до управління телефонним номером зловмисники можуть і через інші вразливості — протокол SS7 або отримання дубліката сім-картки за допомогою несумлінних співробітників оператора.
SS7 – це технічний протокол, який використовують оператори зв'язку. Він містить стару і, судячи з усього, невпинну , яка дозволяє перехоплювати дані, що передаються абонентами під час дзвінка або SMS. Доступ до SS7 є тільки у операторів, але зловмисники можуть отримати його, купивши доступ у даркнеті у операторів малорозвинених держав або через несумлінних співробітників мобільних операторів. Атака відбувається, коли зломщик змінює адресу білінгової системи абонента на свою адресу. Найчастіше зловмисники цим повідомляють системі, що абонент у міжнародному роумінгу, тому найпростіший спосіб убезпечити себе – відключити можливість міжнародного роумінгу, якщо ви ним не користуєтесь.
Ще в Олексія Миронова не було настроєно систему двофакторної автентифікації для Вконтакте. Така функція у ВК у червні 2014 року. Можливо, вона змогла б захистити його обліковий запис від злому. Варто пам'ятати, що звичайна прив'язка акаунта до номера телефону - це не двофакторна автентифікація. — це захист входу до облікового запису, коли на додаток до паролю здійснюють ще одну дію. Найпоширеніший варіант – SMS-код. Цей спосіб не найнадійніший, тому що зловмисники можуть перехопити SMS-повідомлення. Більш безпечні варіанти - файл-ключ, часові коди, мобільний додаток та апаратний токен.
На жаль, ми змушені жити в епоху, коли забезпечення захисту даних стає власною проблемою. Сподіваються на те, що оператори самостійно нестимуть відповідальність у разі злому, як видно, не доводиться. Також як і сподіватися на Роскомнагляд, який вже давно відірвався від реальності у своїй практиці із захисту даних. Пробити броню «відмовного матеріалу» дільничного, якому спустять вашу заяву з аналогічного випадку — неймовірно складно, особливо звичайній людині, яка не знає, як працює ця система. Що ж лишається? Не забувати про цифрову гігієну, довіряти математиці та захищати свої права у суді.
Джерело: habr.com