MTS کسٹمر شناختی نظام میں کمزوری کی وجہ سے دھوکہ بازوں نے کاروباری الیکسی میرونوف کا VKontakte صفحہ چرا لیا۔ سوشل نیٹ ورک نے اسے کبھی بھی اپنے مالک کو واپس نہیں کیا اور اس سے ناممکن کا مطالبہ کر رہا ہے۔ اب وہ اس کے لیے VKontakte پر مقدمہ کر رہا ہے۔ اس کی نمائندگی سینٹر فار ڈیجیٹل رائٹس نے کی ہے۔
الیکسی میرونوف جیفریز کافی چین کے بانی ہیں۔ یہ ماسکو اور علاقوں میں کافی شاپس کی ایک فرنچائز ہے۔ الیکسی اکثر ساتھیوں اور شراکت داروں کے ساتھ VKontakte پر بات چیت کرتا تھا اور وہاں اپنے نیٹ ورک کے لیے ایک بہت مقبول عوامی صفحہ قائم کرتا تھا، جس کے صارفین کی تعداد 50 سے زیادہ تھی۔
نومبر 2018 میں، علی الصبح، جب الیکسی چین میں کاروباری دورے پر تھا، اس کا VKontakte صفحہ ہیک کر لیا گیا۔ اسے VKontakte، WhatsApp سے ایس ایم ایس اور MTS آپریٹر کی طرف سے ایک پیغام موصول ہوا، جس میں کہا گیا تھا کہ دوسرے نمبر پر فارورڈنگ سیٹ اپ ہے۔ الیکسی نے فارورڈنگ سیٹ نہیں کی، اس لیے وہ فوراً پریشان ہو گیا اور ایم ٹی ایس کو فون کیا۔ انہوں نے فوری طور پر اس بات کا تعین بھی نہیں کیا کہ واقعی کوئی ری ڈائریکٹ تھا۔ آپریٹر الیکسی کی کال کے صرف دو گھنٹے بعد اسے بند کرنے میں کامیاب رہا۔ MTS کو کبھی بھی ڈیٹا نہیں ملا کہ کیسے اور کب فارورڈنگ کو چالو کیا گیا۔
الیکسی نے سوشل نیٹ ورکس اور انسٹنٹ میسنجر تک رسائی کی جانچ کی اور دیکھا کہ وہ اپنے فون نمبر کا استعمال کرتے ہوئے ان میں مزید لاگ ان نہیں ہو سکتا۔ ہیکرز نے ایک اور نمبر کو اس کے اکاؤنٹس سے منسلک کیا۔ واٹس ایپ کے ذریعے مسئلہ جلد حل ہو گیا۔ فارورڈنگ کینسل کرنے کے فوراً بعد، میسنجر نے صحیح مالک کو اکاؤنٹ تک رسائی بحال کر دی۔
الیکسی نے VKontakte سپورٹ کو صفحہ واپس کرنے کے لیے لکھا اور اپنے پاسپورٹ کی تصویر بھیجی۔ شام کو اسے ایک SMS موصول ہوا کہ درخواست مسترد کر دی گئی ہے، کیونکہ موجودہ مالک نے رسائی کے حق کی تصدیق کر دی ہے۔
تکنیکی معاونت کے ایک ماہر نے بتایا کہ الیکسی رضاکارانہ طور پر تیسرے فریق کو اپنے صفحہ تک رسائی منتقل کر سکتا ہے، اس لیے وہ اس کی رسائی بحال نہیں کریں گے۔ الیکسی نے ہیکنگ کی صورت حال کی وضاحت کی، لیکن اسے MTS سے ایک تصدیقی خط بھیجنے کو کہا گیا، جس میں آپریٹر تصدیق کرے گا کہ ہیک ہوا ہے۔ الیکسی نے MTS سے ایک خط فراہم کیا۔ اس کے بعد، VKontakte انتظامیہ نے مطالبہ کیا کہ اس خط کو پولیس سے تصدیق کی جائے۔ اس ضرورت کو پورا کرنا بہت مشکل ہے کیونکہ خطوط اور دستخط کرنے والے کی اسناد کی تصدیق کرنا پولیس کا کام نہیں ہے۔ الیکسی صرف ذاتی طور پر VKontakte کے ملازمین سے پوچھ کر ہیک کیے گئے صفحے کو بلاک کرنے کے قابل تھا جسے وہ اس کے بارے میں جانتا تھا۔ صفحہ ابھی تک واپس نہیں کیا گیا ہے۔ الیکسی نے صرف ایک ہی چیز حاصل کی جو اس کا اکاؤنٹ بلاک کرنا تھا۔ اب نہ تو اسکیمرز اور نہ ہی وہ خود اسے استعمال کر سکتے ہیں۔
VKontakte سپورٹ سروس ایک الگ کہانی ہے۔ صرف مجاز صارفین VKontakte سپورٹ سروس سے رابطہ کر سکتے ہیں۔ اس کا مطلب ہے کہ اگر آپ اپنے صفحہ تک رسائی کھو دیتے ہیں، تو آپ کو ایک نیا صفحہ بنانا ہوگا یا حمایت میں لکھنے کے لیے اپنے دوستوں سے ان کے صفحات تک رسائی دینے کے لیے کہنا چاہیے۔ الیکسی نے اپنی بیوی کے صفحہ سے سپورٹ سروس کے ماہرین سے خط و کتابت کی، اور اس سے انہیں کوئی پریشانی نہیں ہوئی، حالانکہ صارف کا معاہدہ لاگ ان اور پاس ورڈ کسی اور کو منتقل کرنے کی اجازت نہیں دیتا ہے۔
صفحہ کی ہیکنگ اور اکاؤنٹ اور عوامی صفحہ تک رسائی کے مزید نقصان نے واضح طور پر الیکسی کی کاروباری ساکھ اور اس کی جائیداد کے مفادات دونوں کو نقصان پہنچایا۔ اس بات کا تذکرہ نہ کرنا کہ اس نے کافی مقدار میں ذاتی اور تجارتی معلومات کو نامعلوم مقامات پر لیک ہونے دیا۔ تاجر کے اکاؤنٹ سے جعلسازوں نے اس کے دوستوں سے بڑی رقم منتقل کرنے کو کہا۔ ایک شخص نے انہیں 34 ہزار روبل منتقل کیا۔ حملہ آوروں کو الیکسی کے اکاؤنٹ سے XNUMX گھنٹے تک ذاتی معلومات تک رسائی حاصل تھی۔
VKontakte کے خلاف مقدمہ
Alexey Mironov نے سوشل نیٹ ورک VKontakte کے خلاف سینٹ پیٹرزبرگ کی Smolninsky ڈسٹرکٹ کورٹ میں مقدمہ دائر کیا ہے اور اب وہ اس کیس کی تفویض کا انتظار کر رہے ہیں۔ وہ عدالت سے درخواست کرتا ہے کہ وہ سوشل نیٹ ورک کو اس کے اپنے معاہدے کو پورا کرنے کے لیے پابند کرے، جو کہ صارف کے معاہدے کی شکل میں ہوا، اور اسے اس کے صفحہ تک رسائی واپس دے۔ آج تک، VKontakte انتظامیہ الیکسی کو غیر معقول طور پر اپنے اکاؤنٹ تک رسائی سے محروم کر رہی ہے، جب کہ اس نے ایمانداری سے صارف کے معاہدے کی شرائط کی تعمیل کی اور سوشل نیٹ ورک کی تکنیکی معاونت کی سروس کو فوری طور پر ہیک کے بارے میں مطلع کیا۔ VKontakte نے صارف کے معاہدے کی ایک شق کا حوالہ دیتے ہوئے صفحہ تک اپنی رسائی بحال کرنے سے انکار کر دیا جو صارفین کو اپنے صفحہ کے لاگ ان اور پاس ورڈ کو تیسرے فریق کو منتقل کرنے سے منع کرتی ہے۔ VKontakte سپورٹ ایجنٹ جس کے ساتھ Alexey نے بات کی تھی کہ آپ صرف آپریٹر کے دفتر میں جا کر اور اپنا پاسپورٹ پیش کر کے فون نمبر فارورڈنگ سیٹ کر سکتے ہیں۔ درحقیقت، یہ معاملہ نہیں ہے، اور Roskomnadzor نے الیکسی کی اپیل کے جواب میں اس کی تصدیق کی۔
سوشل نیٹ ورک نے، صارف کے معاہدے کی خلاف ورزی کرتے ہوئے، اپنے صفحہ کے استعمال تک الیکسی کی رسائی کو غیر معقول حد تک محدود کر دیا۔ یہ آرٹ کے پیراگراف 1 کی خلاف ورزی کرتے ہوئے، ذمہ داریوں کو پورا کرنے سے یکطرفہ انکار ہے۔ روسی فیڈریشن کا سول کوڈ 30۔ اسے اپنے اکاؤنٹ تک رسائی سے محروم کر کے، VK نے الیکسی کو اپنے عوامی صفحہ کے انتظام کے حقوق سے بھی محروم کر دیا، جو اس کے لیے ایک اہم غیر محسوس اثاثہ ہے۔ (ہم نے ڈیجیٹل پراپرٹی کی ایک نئی شکل کے طور پر عوامی مارکیٹ کے بارے میں لکھا ہے اور ان کے ساتھ لین دین ختم کرنے کی خصوصیات )
ایم ٹی ایس شناختی نظام میں حفاظتی سوراخ
کاروباری کی جانب سے دھوکہ بازوں کی طرف سے کی گئی خط و کتابت سے پتہ چلتا ہے کہ وہ اس کے کاروبار اور کاروباری سفر کے بارے میں جانتے تھے۔ انہوں نے MTS رابطہ مرکز کو بلایا، وہ Alexey کی جانب سے اپنی شناخت کرنے اور کال فارورڈنگ ترتیب دینے کے قابل تھے۔ حملہ آور سوشل انجینئرنگ کے ذریعے اس کے پاسپورٹ کا ڈیٹا حاصل کر سکتے تھے۔ الیکسی میرونوف فرنچائز کے بانی ہیں، اس لیے فرنچائز کے ادارے کھولنے میں ملوث بہت سے لوگوں کے پاس اس کے پاسپورٹ کی معلومات ہو سکتی ہیں۔ MTS نے ایک اندرونی تحقیقات کی، لیکن یہ تعین کرنے سے قاصر تھا کہ فارورڈنگ کو کس نے انسٹال کیا اور حملہ آور نے ایس ایم ایس کو کیسے روکا۔ کمپنی نے جرم تسلیم نہیں کیا، لیکن ایک ہی وقت میں الیکسی کو ایک بہت ہی عجیب معاوضہ - 750 روبل کی پیشکش کی.
ہم نے غور کیا کہ صرف درست ذاتی ڈیٹا کا استعمال کرتے ہوئے کسی سبسکرائبر کو دور سے شناخت کرنا ایک بہت ہی مشکوک عمل ہے اور ذاتی ڈیٹا پر قانون سازی کے تقاضوں کے ساتھ کمپنی کے اس قسم کے عمل کی تعمیل کی تصدیق کے لیے Roskomnadzor کو شکایت لکھی۔ نتیجے کے طور پر، Roskomnadzor نے MTS کا ساتھ دیا، اس بات کی طرف اشارہ کرتے ہوئے کہ فون کے ذریعے ریموٹ شناخت کے بعد مواصلاتی خدمات کا انتظام کرنا اور درست ذاتی ڈیٹا فراہم کرنا بالکل معمول کی بات ہے، اور اس قسم کے غیر مجاز اقدامات کے خلاف تحفظ کے اضافی طریقے قائم کرنا خود سبسکرائبر کے لیے درد سر ہے، نہ کہ کمپنی (مکمل جواب پڑھیں- )
الیکسی میرونوف کے اکاؤنٹ کی ہیکنگ MTS صارفین کے ڈیٹا تک غیر مجاز رسائی کا پہلا واقعہ نہیں ہے۔ 2018 میں، 500 ہزار سبسکرائبرز کا ڈیٹا بیس نووسیبرسک میں دو حملہ آور، جن میں سے ایک کمپنی کا ملازم تھا۔ انہوں نے ڈیٹا بیس کو ایک سبسکرائبر کے ڈیٹا کے لیے 1 روبل کی قیمت پر فروخت کرنے کی کوشش کی۔
2016 میں تھے۔ اپوزیشن کارکنوں جارجی البروف اور اولیگ کوزلووسکی کے ٹیلی گرام اکاؤنٹس۔ ان کے اکاؤنٹس MTS نمبروں سے منسلک تھے، اور ہیک ہونے سے کچھ دیر پہلے، ان کی ایس ایم ایس سروس کو غیر فعال کر دیا گیا تھا اور فارورڈنگ کو فعال کر دیا گیا تھا۔ بریک ان کے حالات بھی قائم نہیں تھے۔ 2019 میں، Oleg Kozlovsky نے MTS کے خلاف مقدمہ دائر کیا، لیکن عدالت نے اسے مسترد کر دیا۔
مختلف ویب سروسز اور ایپلی کیشنز کے اکاؤنٹس کو ہیکنگ سے بچانا خود صارف کی ذمہ داری ہے۔ یہ پوزیشن ٹیلی کام آپریٹرز اور خود ریگولیٹر دونوں کی طرف سے مشترکہ ہے، جس کے مطابق وہ ان خطرات کو اپنے صارفین کے ساتھ شیئر کرنے سے انکار کرتے ہیں۔
RKN اسے اپنے جواب میں اس طرح بیان کرتا ہے:
ایم ٹی ایس کی شرائط کی شق 2.11 کے مطابق، شناختی مقاصد کے لیے، ٹیلی کام آپریٹر کے سبسکرائبرز کو ایک کوڈ ورڈ استعمال کرنے کا موقع دیا جاتا ہے - علامتوں (حروف، نمبرز) کی ایک ترتیب جو سبسکرائبر کے ذریعہ قائم کردہ فارم میں بیان کی گئی ہے۔ آپریٹر، جو معاہدے پر عمل کرتے وقت سبسکرائبر کی شناخت کرتا ہے۔ سبسکرائبر کے پاس ایک کوڈ ورڈ سیٹ کرنے کا موقع ہوتا ہے کہ وہ معاہدہ کرتے وقت (اس صورت میں یہ لازمی تفصیلات کے ساتھ معاہدے کے فارم میں درج کیا جاتا ہے) اور کسی بھی وقت معاہدے پر عمل درآمد کے دوران۔ اس کے باوجود، سبسکرائبر Mironov A.K. سروس کے متنازعہ کنکشن سے پہلے کوڈ ورڈ سیٹ نہیں کیا گیا تھا۔ ایسے حالات میں، صرف سبسکرائبر، ٹیلی کام آپریٹر کے ساتھ شناخت کے دوران ایک کوڈ ورڈ قائم کرکے، ایسے حالات کے منفی نتائج کے خطرے کو بے اثر کرسکتا ہے، لیکن اس موقع سے فائدہ نہیں اٹھایا۔"
اکاؤنٹ کی بازیابی۔ ناممکن مشن
Roskomnadzor کے غیر فعال ہونے کی شکایت پہلے ہی پراسیکیوٹر کے دفتر میں درج کرائی جا چکی ہے۔ دریں اثناء پولیس نے کرائم رپورٹ پر خاموشی اختیار کر رکھی ہے۔ کوئی بھی کمپنی کے اندر تحقیقات کے نتائج کے بارے میں کچھ بھی رپورٹ نہیں کرتا ہے۔ ایم ٹی ایس کوئی جرم تسلیم نہیں کرتا۔ کوئی پرواہ نہیں کرتا. ایک ہی وقت میں، VKontakte اکاؤنٹ کے مالک کو اس تک رسائی بحال کرنے سے انکار کرتا رہتا ہے جب تک کہ وہ پولیس کی طرف سے ایک مجرمانہ مقدمہ شروع کرنے کے لیے مخصوص حقائق اور MTS کی طرف سے ایک خط نہیں لاتا، جو اس بات کی تصدیق کرے گا کہ ری ڈائریکشن سروس قابل مقابلہ ہے۔ کافی وسیع وضاحتوں کے ساتھ خط میں، یہ بھی شرط ہے کہ میرونوف کو ایم ٹی ایس سے ایک سرٹیفکیٹ بھی فراہم کرنا ہوگا کہ وہ واحد ہے (اور کیا، کہیں آپریٹرز فون نمبرز کی مشترکہ ملکیت کا اندراج کرتے ہیں؟) اس فون نمبر کا صارف جس سے لنک کیا گیا تھا۔ صفحہ جواب پچھلے ہفتے کے آخر میں پہنچا، اور صورتحال میں تعطل اور اب چھ ماہ تک VKontakte کے ساتھ معاہدے تک پہنچنے کے ناممکن کو دیکھتے ہوئے، ہم عدالت گئے۔
اپنے آپ کو ہیکنگ سے کیسے بچائیں۔
حملہ آور دیگر خطرات - SS7 پروٹوکول یا آپریٹر کے بے ایمان ملازمین کی مدد سے ڈپلیکیٹ سم کارڈ حاصل کرنے کے ذریعے فون نمبر کا انتظام کرنے تک بھی رسائی حاصل کر سکتے ہیں۔
SS7 ایک تکنیکی پروٹوکول ہے جسے ٹیلی کام آپریٹرز استعمال کرتے ہیں۔ اس میں ایک پرانا اور بظاہر ناقابل ہٹایا جا سکتا ہے۔ ، جو آپ کو کال کے دوران یا SMS کے ذریعے سبسکرائبرز کے ذریعے منتقل کردہ ڈیٹا کو روکنے کی اجازت دیتا ہے۔ صرف آپریٹرز کو SS7 تک رسائی حاصل ہے، لیکن حملہ آور اسے ڈارک نیٹ پر غیر ترقی یافتہ ممالک کے آپریٹرز سے یا موبائل آپریٹرز کے بے ایمان ملازمین کے ذریعے خرید کر حاصل کر سکتے ہیں۔ حملہ اس وقت ہوتا ہے جب حملہ آور سبسکرائبر کے بلنگ سسٹم ایڈریس کو اپنے ایڈریس میں تبدیل کرتا ہے۔ اکثر، حملہ آور سسٹم کو مطلع کرتے ہیں کہ سبسکرائبر بین الاقوامی رومنگ میں ہے، لہذا اپنے آپ کو بچانے کا سب سے آسان طریقہ بین الاقوامی رومنگ کو غیر فعال کرنا ہے اگر آپ اسے استعمال نہیں کرتے ہیں۔
Alexey Mironov کے پاس ابھی تک Vkontakte کے لیے دو فیکٹر تصدیقی نظام تشکیل نہیں دیا گیا تھا۔ یہ فنکشن جون 2014 میں VK میں۔ شاید وہ اس کے اکاؤنٹ کو ہیک ہونے سے بچا سکے۔ یہ یاد رکھنے کے قابل ہے کہ صرف ایک اکاؤنٹ کو فون نمبر سے منسلک کرنا دو عنصر کی تصدیق نہیں ہے۔ - یہ اکاؤنٹ میں لاگ ان کا تحفظ ہے جب، پاس ورڈ کے علاوہ، کوئی اور کارروائی کی جاتی ہے۔ سب سے عام آپشن ایس ایم ایس کوڈ ہے۔ یہ طریقہ سب سے زیادہ قابل اعتماد نہیں ہے، کیونکہ حملہ آور ایس ایم ایس پیغام کو روک سکتے ہیں۔ زیادہ محفوظ اختیارات کلیدی فائل، عارضی کوڈز، ایک موبائل ایپلیکیشن اور ہارڈویئر ٹوکن ہیں۔
بدقسمتی سے، ہم ایک ایسے دور میں رہنے پر مجبور ہیں جہاں ڈیٹا کی حفاظت کو یقینی بنانا ہمارا اپنا مسئلہ بن جاتا ہے۔ انہیں امید ہے کہ آپریٹرز ہیک ہونے کی صورت میں آزادانہ طور پر ذمہ داری اٹھائیں گے، لیکن بظاہر ایسا نہیں ہے۔ اس کے ساتھ ساتھ Roskomnadzor پر بھروسہ کرنا، جو اپنے ڈیٹا کے تحفظ کے طریقوں میں طویل عرصے سے حقیقت سے الگ ہو چکا ہے۔ مقامی پولیس افسر کے "انکار کے مواد" کو توڑنا ناقابل یقین حد تک مشکل ہے جو آپ کی درخواست اسی طرح کے معاملے میں وصول کرے گا، خاص طور پر ایک عام آدمی کے لیے جو نہیں جانتا کہ یہ نظام کیسے کام کرتا ہے۔ باقی کیا ہے؟ ڈیجیٹل حفظان صحت کے بارے میں مت بھولیں، ریاضی پر بھروسہ کریں اور عدالت میں اپنے حقوق کا دفاع کریں۔
ماخذ: www.habr.com