Kẻ lừa đảo đã đánh cắp trang VKontakte của doanh nhân Alexey Mironov do lỗ hổng trong hệ thống nhận dạng khách hàng MTS. Mạng xã hội chưa bao giờ trả lại nó cho chủ nhân của nó và đang đòi hỏi điều không thể từ anh ta. Bây giờ anh ấy đang kiện VKontakte vì điều này. Ông được đại diện bởi Trung tâm Quyền Kỹ thuật số.
Alexey Mironov là người sáng lập chuỗi cà phê Jeffrey's Coffee. Đây là nhượng quyền thương mại của các quán cà phê ở Moscow và các khu vực. Alexey thường liên lạc với các đồng nghiệp và đối tác trên VKontakte và duy trì một trang công khai rất phổ biến cho mạng của mình ở đó, với số lượng hơn 50 người đăng ký.
Vào tháng 2018 năm XNUMX, vào sáng sớm, khi Alexey đang đi công tác ở Trung Quốc, trang VKontakte của anh đã bị hack. Anh ấy đã nhận được tin nhắn SMS từ VKontakte, WhatsApp và một tin nhắn từ nhà điều hành MTS, trong đó nói rằng việc chuyển tiếp sang số khác đã được thiết lập. Alexey không thiết lập chuyển tiếp nên ngay lập tức lo lắng và gọi cho MTS. Họ thậm chí còn không xác định được ngay rằng thực sự có một sự chuyển hướng. Người điều hành đã có thể tắt nó chỉ hai giờ sau cuộc gọi của Alexey. MTS không bao giờ tìm thấy dữ liệu về cách thức và thời điểm kích hoạt chuyển tiếp.
Alexey đã kiểm tra quyền truy cập vào mạng xã hội và tin nhắn tức thời và thấy rằng anh không thể đăng nhập vào chúng bằng số điện thoại của mình nữa. Các hacker đã liên kết một số khác với tài khoản của anh ấy. Với WhatsApp, vấn đề đã được giải quyết nhanh chóng. Ngay sau khi hủy chuyển tiếp, người đưa tin đã khôi phục quyền truy cập vào tài khoản cho chủ sở hữu hợp pháp.
Alexey đã viết thư cho bộ phận hỗ trợ của VKontakte yêu cầu trả lại trang và gửi ảnh hộ chiếu của anh ấy. Vào buổi tối, anh ấy nhận được một tin nhắn SMS rằng ứng dụng đã bị từ chối vì chủ sở hữu hiện tại đã xác nhận quyền truy cập.
Một chuyên gia hỗ trợ kỹ thuật cho biết Alexey có thể tự nguyện chuyển quyền truy cập vào trang của mình cho bên thứ ba nên họ sẽ không khôi phục quyền truy cập của anh ấy. Alexey giải thích về tình huống hack, nhưng anh ta được yêu cầu gửi thư xác nhận từ MTS, trong đó người điều hành sẽ xác nhận rằng một vụ hack đã xảy ra. Alexey đã cung cấp một lá thư từ MTS. Sau đó, chính quyền VKontakte yêu cầu bức thư này phải có xác nhận của cảnh sát. Yêu cầu này rất khó thực hiện vì chức năng của cảnh sát không phải là chứng thực thư từ và giấy tờ tùy thân của người ký. Alexey chỉ có thể chặn trang bị tấn công bằng cách hỏi trực tiếp các nhân viên VKontakte mà anh ấy biết về trang đó. Trang này vẫn chưa được trả lại. Điều duy nhất Alexey đạt được là chặn tài khoản của mình. Bây giờ cả những kẻ lừa đảo và bản thân anh ta đều không thể sử dụng nó.
Dịch vụ hỗ trợ VKontakte lại là một câu chuyện khác. Chỉ những người dùng được ủy quyền mới có thể liên hệ với dịch vụ hỗ trợ VKontakte. Điều này có nghĩa là nếu bạn mất quyền truy cập vào trang của mình, bạn phải tạo một trang mới hoặc yêu cầu bạn bè cấp quyền truy cập vào trang của họ để viết thư hỗ trợ. Alexey đã trao đổi thư từ với các chuyên gia dịch vụ hỗ trợ từ trang của vợ anh ấy và điều này không làm họ bận tâm, mặc dù Thỏa thuận người dùng không cho phép chuyển thông tin đăng nhập và mật khẩu cho người khác.
Việc hack trang và mất thêm quyền truy cập vào tài khoản cũng như trang công khai rõ ràng đã làm tổn hại đến danh tiếng kinh doanh của Alexey cũng như lợi ích tài sản của anh ấy. Chưa kể rằng điều này cho phép một lượng đáng kể thông tin cá nhân và thương mại bị rò rỉ đến các điểm đến không xác định. Những kẻ lừa đảo từ tài khoản của doanh nhân đã yêu cầu bạn bè của anh ta chuyển cho chúng một số tiền lớn. Một người đã chuyển cho họ 34 nghìn rúp. Những kẻ tấn công đã truy cập thông tin cá nhân từ tài khoản của Alexey trong XNUMX giờ.
Vụ kiện VKontakte
Alexey Mironov đã đệ đơn kiện mạng xã hội VKontakte lên Tòa án quận Smolninsky của St. Petersburg và hiện đang chờ phân công vụ án. Anh ta yêu cầu tòa án buộc mạng xã hội phải thực hiện thỏa thuận của riêng mình, được ký kết dưới hình thức Thỏa thuận người dùng và trả lại cho anh ta quyền truy cập vào trang của mình. Cho đến ngày nay, chính quyền VKontakte vẫn tiếp tục tước quyền truy cập vào tài khoản của Alexey một cách vô lý, trong khi anh ấy tận tâm tuân thủ các điều khoản của Thỏa thuận người dùng và thông báo ngay cho dịch vụ hỗ trợ kỹ thuật của mạng xã hội về vụ hack. VKontakte từ chối khôi phục quyền truy cập vào trang của mình, trích dẫn một điều khoản trong Thỏa thuận người dùng cấm người dùng chuyển thông tin đăng nhập và mật khẩu trang của họ cho bên thứ ba. Nhân viên hỗ trợ VKontakte mà Alexey đã nói chuyện cho biết rằng bạn chỉ có thể thiết lập chuyển tiếp số điện thoại bằng cách đến văn phòng của nhà điều hành và xuất trình hộ chiếu của mình. Trên thực tế, không phải như vậy và điều này đã được Roskomnadzor xác nhận trước lời kêu gọi của Alexey.
Mạng xã hội, vi phạm Thỏa thuận người dùng, đã hạn chế một cách vô lý quyền truy cập của Alexey vào việc sử dụng trang của anh ấy. Đây là hành vi đơn phương từ chối thực hiện nghĩa vụ, vi phạm khoản 1 Điều 30. XNUMX Bộ luật Dân sự Liên bang Nga. Bằng cách tước quyền truy cập vào tài khoản của anh ấy, VK cũng tước đi quyền quản lý trang công khai của Alexey, đây là tài sản vô hình quan trọng đối với anh ấy. (Chúng tôi đã viết về thị trường đại chúng như một hình thức sở hữu kỹ thuật số mới và những đặc điểm của việc kết thúc giao dịch với chúng )
Lỗ hổng bảo mật trong hệ thống nhận dạng MTS
Thư từ do những kẻ lừa đảo thay mặt doanh nhân thực hiện cho thấy chúng đã biết về công việc và chuyến công tác của anh ta. Họ đã gọi đến trung tâm liên lạc MTS, thay mặt Alexey có thể nhận dạng chính họ và thiết lập chuyển tiếp cuộc gọi. Những kẻ tấn công có thể lấy được dữ liệu hộ chiếu của anh ta thông qua kỹ thuật xã hội. Alexey Mironov là người sáng lập nhượng quyền thương mại nên nhiều người tham gia mở cơ sở nhượng quyền có thể biết thông tin hộ chiếu của anh ấy. MTS đã tiến hành một cuộc điều tra nội bộ nhưng không thể xác định chính xác ai đã cài đặt tính năng chuyển tiếp và cách kẻ tấn công chặn SMS. Công ty không thừa nhận tội lỗi nhưng đồng thời đề nghị cho Alexey một khoản bồi thường rất kỳ lạ - 750 rúp.
Chúng tôi cho rằng việc xác định người đăng ký từ xa chỉ sử dụng dữ liệu cá nhân chính xác là một hành vi rất đáng ngờ và đã viết đơn khiếu nại tới Roskomnadzor để xác minh việc tuân thủ loại quy trình này của công ty với các yêu cầu của pháp luật về dữ liệu cá nhân. Do đó, Roskomnadzor đứng về phía MTS, chỉ ra rằng việc quản lý các dịch vụ liên lạc sau khi nhận dạng từ xa qua điện thoại trong khi cung cấp dữ liệu cá nhân chính xác là khá bình thường và việc thiết lập các phương pháp bảo vệ bổ sung chống lại loại hành động trái phép này là vấn đề đau đầu đối với chính người đăng ký chứ không phải công ty . (đọc câu trả lời đầy đủ - )
Việc hack tài khoản của Alexey Mironov không phải là trường hợp đầu tiên truy cập trái phép vào dữ liệu thuê bao MTS. Năm 2018, cơ sở dữ liệu 500 nghìn thuê bao ở Novosibirsk có hai kẻ tấn công, một trong số đó là nhân viên công ty. Họ đã cố gắng bán cơ sở dữ liệu với giá 1 rúp cho dữ liệu của một người đăng ký.
Năm 2016 có Tài khoản Telegram của các nhà hoạt động đối lập Georgy Alburov và Oleg Kozlovsky. Tài khoản của họ được liên kết với số MTS và ngay trước khi bị hack, dịch vụ SMS của họ đã bị vô hiệu hóa và tính năng chuyển tiếp đã được bật. Hoàn cảnh của vụ đột nhập cũng không được xác định. Năm 2019, Oleg Kozlovsky đã đệ đơn kiện MTS nhưng tòa án đã bác bỏ.
Bảo vệ tài khoản của các dịch vụ và ứng dụng web khác nhau khỏi bị hack là trách nhiệm của chính người dùng. Vị trí này được chia sẻ bởi cả các nhà khai thác viễn thông và chính cơ quan quản lý, theo đó họ từ chối chia sẻ những rủi ro này với các thuê bao của mình.
RKN mô tả nó theo cách này trong phản hồi của nó:
“... Theo khoản 2.11 của Điều kiện MTS, vì mục đích nhận dạng, các thuê bao của nhà khai thác viễn thông có cơ hội sử dụng Từ mã - một chuỗi ký hiệu (chữ cái, số) do Thuê bao chỉ định ở dạng được thiết lập bởi Nhà điều hành, dùng để xác định Người đăng ký khi thực hiện Thỏa thuận. Người đăng ký có cơ hội đặt từ mã cả khi ký kết thỏa thuận (trong trường hợp này, nó được nhập vào biểu mẫu thỏa thuận cùng với các chi tiết bắt buộc) và bất kỳ lúc nào trong quá trình thực hiện thỏa thuận. Mặc dù vậy, người đăng ký Mironov A.K. từ mã không được đặt trước khi kết nối dịch vụ bị tranh chấp. Trong những trường hợp như vậy, chỉ thuê bao, bằng cách thiết lập một từ mã trong quá trình nhận dạng với nhà khai thác viễn thông, mới có thể vô hiệu hóa nguy cơ hậu quả bất lợi từ những tình huống đó, nhưng đã không tận dụng được cơ hội này”.
Khôi phục tài khoản. Nhiệm vụ bất khả thi
Đơn khiếu nại về việc Roskomnadzor không hành động đã được đệ trình lên văn phòng công tố. Trong khi đó, cảnh sát tiếp tục giữ im lặng về trình báo tội phạm. Không ai báo cáo bất cứ điều gì trong công ty về kết quả điều tra. MTS không thừa nhận bất kỳ tội lỗi nào. Không ai quan tâm. Đồng thời, VKontakte tiếp tục từ chối chủ sở hữu tài khoản khôi phục quyền truy cập vào tài khoản cho đến khi anh ta mang đến cho cảnh sát Nghị quyết khởi tố vụ án hình sự xác định các tình tiết cụ thể và một lá thư từ MTS, xác nhận rằng dịch vụ chuyển hướng có thể bị tranh chấp. Trong bức thư với những lời giải thích khá rộng rãi, còn có yêu cầu Mironov cũng phải cung cấp chứng chỉ từ MTS rằng anh ta là người duy nhất (và cái gì, ở đâu đó các nhà khai thác đăng ký quyền sở hữu chung số điện thoại?) đối với số điện thoại được liên kết với trang. Phản hồi đã đến vào cuối tuần trước, và do tình hình bế tắc cũng như không thể đạt được thỏa thuận với VKontakte trong sáu tháng nay, chúng tôi đã ra tòa.
Cách tự bảo vệ mình khỏi bị hack
Những kẻ tấn công cũng có thể có quyền truy cập để quản lý số điện thoại thông qua các lỗ hổng khác - giao thức SS7 hoặc lấy thẻ SIM trùng lặp với sự trợ giúp của các nhân viên điều hành vô đạo đức.
SS7 là giao thức kỹ thuật được sử dụng bởi các nhà khai thác viễn thông. Nó chứa một cái cũ và dường như không thể tháo rời , cho phép bạn chặn dữ liệu do người đăng ký truyền trong khi gọi hoặc qua SMS. Chỉ các nhà khai thác mới có quyền truy cập vào SS7, nhưng những kẻ tấn công có thể có được nó bằng cách mua quyền truy cập trên darknet từ các nhà khai thác ở các nước kém phát triển hoặc thông qua nhân viên vô đạo đức của các nhà khai thác di động. Một cuộc tấn công xảy ra khi kẻ tấn công thay đổi địa chỉ hệ thống thanh toán của người đăng ký thành địa chỉ của chính mình. Thông thường, những kẻ tấn công thông báo cho hệ thống rằng thuê bao đang chuyển vùng quốc tế, vì vậy cách dễ nhất để tự bảo vệ mình là vô hiệu hóa chuyển vùng quốc tế nếu bạn không sử dụng nó.
Alexey Mironov chưa cấu hình hệ thống xác thực hai yếu tố cho Vkontakte. Chức năng này tại VK vào tháng 2014 năm XNUMX. Có lẽ cô ấy có thể bảo vệ tài khoản của anh ấy khỏi bị hack. Điều cần nhớ là chỉ liên kết tài khoản với số điện thoại không phải là xác thực hai yếu tố. — đây là biện pháp bảo vệ việc đăng nhập vào tài khoản khi, ngoài mật khẩu, một hành động khác được thực hiện. Tùy chọn phổ biến nhất là mã SMS. Phương pháp này không đáng tin cậy nhất vì kẻ tấn công có thể chặn tin nhắn SMS. Các tùy chọn an toàn hơn là tệp khóa, mã tạm thời, ứng dụng di động và mã thông báo phần cứng.
Thật không may, chúng ta buộc phải sống trong thời đại mà việc đảm bảo an ninh dữ liệu trở thành vấn đề của chính chúng ta. Họ hy vọng rằng các nhà khai thác sẽ chịu trách nhiệm một cách độc lập trong trường hợp bị hack, nhưng có vẻ như thực tế không phải vậy. Cũng như dựa vào Roskomnadzor, công ty từ lâu đã xa rời thực tế trong các hoạt động bảo vệ dữ liệu của mình. Rất khó để vượt qua lớp áo giáp “vật liệu từ chối” của cảnh sát địa phương, người sẽ nhận đơn đăng ký của bạn trong một trường hợp tương tự, đặc biệt là đối với một người bình thường không biết hệ thống này hoạt động như thế nào. Những gì còn sót lại? Đừng quên vệ sinh kỹ thuật số, tin tưởng vào toán học và bảo vệ quyền lợi của bạn trước tòa.
Nguồn: www.habr.com