由于 MTS 客户识别系统中的漏洞,欺诈者窃取了企业家 Alexey Mironov 的 VKontakte 页面。 该社交网络从未将其归还给其所有者,并且向他提出了不可能的要求。 现在他正为此起诉 VKontakte。 他由数字版权中心代表。
阿列克谢·米罗诺夫 (Alexey Mironov) 是杰弗里咖啡连锁店的创始人。 这是莫斯科及其周边地区的咖啡店特许经营店。 Alexey 经常在 VKontakte 上与同事和合作伙伴进行交流,并为他的网络维护了一个非常受欢迎的公共页面,订阅者数量超过 50 名。
2018年XNUMX月一大早,Alexey在中国出差时,他的VKontakte页面被黑了。 他收到了来自 VKontakte、WhatsApp 的短信以及来自 MTS 运营商的消息,消息称已设置转发到另一个号码。 Alexey没有设置转发,所以他立即开始担心并给MTS打电话。 他们甚至没有立即确定确实存在重定向。 在阿列克谢打来电话两小时后,接线员就将其关闭。 MTS 从未找到有关如何以及何时激活转发的数据。
Alexey 检查了对社交网络和即时通讯工具的访问,发现他无法再使用他的电话号码登录它们。 黑客将另一个号码与他的账户关联起来。 通过 WhatsApp,问题很快得到解决。 取消转发后,消息发送者立即恢复了合法所有者对该帐户的访问权限。
Alexey 写信给 VKontakte 支持人员,要求归还该页面并发送了他的护照照片。 晚上,他收到一条短信,表示申请被拒绝,因为当前所有者确认了访问权。
一位技术支持专家表示,Alexey 可以自愿将其页面的访问权限转移给第三方,因此他们不会恢复他的访问权限。 Alexey解释了黑客攻击的情况,但他被要求发送MTS的确认信,运营商将在其中确认发生了黑客攻击。 Alexey 提供了 MTS 的一封信。 此后,VKontakte 管理部门要求警方对这封信进行认证。 这一要求很难满足,因为警察的职责不是验证信件和签字人的证件。 Alexey 只能通过亲自询问他所了解的 VKontakte 员工来阻止被黑的页面。 该页面尚未返回。 阿列克谢唯一取得的成就就是封锁了他的帐户。 现在骗子和他本人都无法使用它。
VKontakte 支持服务则是另一回事。 只有授权用户才能联系 VKontakte 支持服务。 这意味着,如果您无法访问自己的页面,则必须创建一个新页面或要求您的朋友授予其页面的访问权限,以便写下支持信。 Alexey 通过他妻子的页面与支持服务专家进行了通信,这并没有打扰他们,尽管用户协议不允许将登录名和密码转让给其他人。
页面遭到黑客攻击以及进一步失去对帐户和公共页面的访问权限,显然损害了 Alexey 的商业声誉和财产利益。 更不用说这使得大量的个人和商业信息泄露到未知的目的地。 骗子利用该商人的账户,要求他的朋友给他们转一大笔钱。 一个人给他们转了34万卢布。 攻击者可以在 XNUMX 小时内访问 Alexey 帐户的个人信息。
针对 VKontakte 的诉讼
阿列克谢·米罗诺夫 (Alexey Mironov) 在圣彼得堡斯莫尔宁斯基地方法院对社交网络 VKontakte 提起诉讼,目前正在等待案件分配。 他请求法院强制该社交网络履行其以用户协议形式签订的协议,并让他返回其页面的访问权限。 直到今天,VKontakte 管理部门仍然无理地剥夺 Alexey 访问其帐户的权限,而他却认真遵守了用户协议的条款,并立即向社交网络的技术支持服务部门通报了此次黑客攻击事件。 VKontakte 拒绝恢复他对该页面的访问,并引用了用户协议中的一项条款,该条款禁止用户将其页面登录名和密码转让给第三方。 与 Alexey 交谈的 VKontakte 支持代理表示,您只能通过访问运营商办公室并出示护照来设置电话号码转发。 事实上,事实并非如此,Roskomnadzor 在回应 Alexey 的上诉时证实了这一点。
该社交网络违反了用户协议,不合理地限制了 Alexey 对其页面的使用。 这是单方面拒绝履行义务,违反了第 1 条第 30 款。 XNUMX 俄罗斯联邦民法典。 通过剥夺 Alexey 帐户的访问权限,VK 还剥夺了 Alexey 管理其公共页面的权利,这对他来说是一项重要的无形资产。 (我们写了公开市场作为数字财产的一种新形式以及与它们达成交易的特殊性 )
MTS识别系统中的安全漏洞
诈骗者代表该企业家进行的通信表明,他们了解该企业家的生意和出差。 他们致电 MTS 联络中心,代表 Alexey 表明了自己的身份并设置了呼叫转接。 攻击者可以通过社会工程获取他的护照数据。 阿列克谢·米罗诺夫(Alexey Mironov)是该特许经营店的创始人,因此许多参与开设特许经营店的人都可以获得他的护照信息。 MTS 进行了内部调查,但无法确定到底是谁安装了转发以及攻击者如何拦截短信。 该公司没有认罪,但同时向阿列克谢提供了一份非常奇怪的补偿——750卢布。
我们认为仅使用正确的个人数据远程识别订阅者的做法非常可疑,因此向 Roskomnadzor 写了一份投诉,以核实此类公司流程是否符合个人数据立法的要求。 因此,Roskomnadzor站在MTS一边,指出通过电话远程识别后在提供正确个人数据的情况下管理通信服务是很正常的,建立额外的方法来防止这种未经授权的行为对于订户本身来说是一个令人头疼的问题,而不是公司。 (阅读完整答案 - )
阿列克谢·米罗诺夫 (Alexey Mironov) 帐户遭到黑客攻击并不是第一起未经授权访问 MTS 用户数据的案例。 2018年,数据库订阅用户数达到500万 新西伯利亚有两名袭击者,其中一名是公司员工。 他们试图以 1 卢布的价格出售数据库,以获得一名订户的数据。
2016年有 反对派活动家乔治·阿尔布罗夫和奥列格·科兹洛夫斯基的电报账户。 他们的账户与 MTS 号码相关联,在黑客攻击前不久,他们的短信服务被禁用并启用了转发。 闯入的情况也未确定。 2019年,奥列格·科兹洛夫斯基对MTS提起诉讼,但被法院驳回。
保护各种网络服务和应用程序的帐户免遭黑客攻击是用户自己的责任。 电信运营商和监管机构本身都持这一立场,他们拒绝与自己的用户分担这些风险。
RKN 在其回应中是这样描述的:
“……根据 MTS 条件第 2.11 条,出于识别目的,电信运营商的用户有机会使用代码字 - 由用户指定的符号(字母、数字)序列,格式为运营商,用于在执行协议时识别订阅者。 订户有机会在签订协议时(在这种情况下,它与强制性详细信息一起输入协议表格中)和在协议执行期间的任何时间设置代码字。 尽管如此,订户 Mironov A.K. 在有争议的服务连接之前未设置代码字。 在这种情况下,只有用户在与电信运营商进行身份验证时建立密码字,才能消除这种情况带来的不良后果的风险,但用户并没有利用这个机会。”
帐户恢复。 不可能完成的任务
关于 Roskomnadzor 不作为的投诉已经提交给检察官办公室。 与此同时,警方对犯罪报告继续保持沉默。 公司内部也没有人报告任何有关调查结果的信息。 MTS 不承认有任何罪行。 没人在乎。 与此同时,VKontakte 继续拒绝帐户所有者恢复对其的访问权限,直到他向警方提交一份启动刑事案件的决议,确定具体事实以及 MTS 的一封信,该信将确认重定向服务是有争议的。 在信中进行了相当广泛的解释,还要求米罗诺夫还必须提供 MTS 的证明,证明他是所链接电话号码的唯一(以及什么地方运营商注册了电话号码的共同所有权?)用户这一页。 上周末收到了答复,鉴于局势陷入僵局,并且六个月内无法与 VKontakte 达成协议,我们诉诸法庭。
如何保护自己免受黑客攻击
攻击者还可以通过其他漏洞(SS7 协议)来管理电话号码,或者在无良运营商员工的帮助下获取重复的 SIM 卡。
SS7是电信运营商使用的技术协议。 它包含一个旧的且显然无法移除的 ,它允许您拦截订阅者在通话期间或通过短信传输的数据。 只有运营商才能访问 SS7,但攻击者可以通过从不发达国家的运营商或通过移动运营商的无良员工购买暗网访问权限来获得它。 当攻击者将订户的计费系统地址更改为他自己的地址时,就会发生攻击。 大多数情况下,攻击者会通知系统用户正在国际漫游,因此保护自己的最简单方法是在不使用国际漫游时禁用它。
Alexey Mironov 尚未为 Vkontakte 配置双因素身份验证系统。 这个功能 2014年XNUMX月在VK。 也许她可以保护他的帐户不被黑客入侵。 值得记住的是,简单地将帐户链接到电话号码并不是双因素身份验证。 — 这是在除了密码之外还执行其他操作时对帐户登录的保护。 最常见的选项是短信代码。 此方法不是最可靠的,因为攻击者可以拦截 SMS 消息。 更安全的选项包括密钥文件、临时代码、移动应用程序和硬件令牌。
不幸的是,我们被迫生活在一个确保数据安全成为我们自己问题的时代。 他们希望运营商在发生黑客攻击时能够独立承担责任,但显然情况并非如此。 以及依赖 Roskomnadzor,其数据保护实践长期以来脱离现实。 想要突破当地警察在类似案件中收到你的申请的“拒绝材料”的铠甲是非常困难的,特别是对于一个不知道这个系统如何运作的普通人来说。 剩下什么? 不要忘记数字卫生,相信数学并在法庭上捍卫您的权利。
来源: habr.com