Los estafadores robaron la página de VKontakte del empresario Alexei Mironov debido a la vulnerabilidad en el sistema de identificación de clientes MTS. La red social no ha regresado a su dueño y lo exige imposible. Ahora está demandando a VKontakte por ello. Sus intereses están representados por el Centro de Derechos Digitales.
Alexey Mironov es el fundador de la red Jeffrey's Coffee. Esta es una franquicia de cafeterías en Moscú y las regiones. Alex a menudo hablaba con colegas y socios de VKontakte y dirigía a un público muy popular de su red allí, con más de 50,000 suscriptores.
En noviembre de 2018, temprano en la mañana, cuando Alex estaba en un viaje de negocios en China, su página de VK fue pirateada. Recibió un mensaje de texto de VKontakte, WhatsApp y un mensaje del operador de MTS, que decía que lo enviaron a otro número. Alexey no configuró el desvío de llamadas, por lo que inmediatamente se preocupó y llamó a MTS. Ni siquiera determinaron de inmediato que realmente hay un desvío de llamadas. El operador pudo desconectarla solo dos horas después de la llamada de Alexey. El MTS no encontró datos sobre cómo y cuándo se conectó el desvío de llamadas.
Alexey comprobó el acceso a las redes sociales y a los mensajeros instantáneos y vio que ya no podía ingresarlos por número de teléfono. Los hackers ataron un número diferente a sus cuentas. Con WhatsApp, el problema se resolvió rápidamente. Inmediatamente después de la cancelación del reenvío, el mensajero recuperó el acceso a la cuenta a su legítimo propietario.
Alex escribió en apoyo de VKontakte con una solicitud para devolver la página y envió una foto de pasaporte. Por la noche, recibió un SMS de que la solicitud fue rechazada, ya que el propietario actual ha confirmado el derecho de acceso.
Un especialista en soporte técnico dijo que Alexey podría transferir voluntariamente el acceso a su página a terceros, por lo que no restablecerán el acceso a ella. Alexey explicó la situación con el pirateo, pero se le pidió que enviara una carta de confirmación de MTS en la que el operador confirmaría que se había producido el pirateo. Una carta de MTS Alexey proporcionada. Después de eso, la administración VKontakte exigió que la carta fuera certificada por la policía. Tal requisito es muy difícil de cumplir, porque la certificación de cartas y poderes de un firmante no es una función de la policía. Alexey podría bloquear la página pirateada solo preguntando personalmente a los amigos de VKontakte al respecto. La página no ha sido devuelta hasta ahora. Lo único que logró Alexey es el bloqueo de cuenta. Ahora no puede ser utilizado por estafadores ni por sí mismo.
El servicio de soporte de VKontakte es una historia aparte. El servicio de soporte de VKontakte solo puede ser contactado por usuarios autorizados. Esto significa que si ha perdido el acceso a su página, debe crear una nueva o pedirles a sus amigos que le den acceso a sus páginas para escribir soporte. Alex se puso en contacto con especialistas de soporte de la página de su esposa, y esto no los molestó, aunque el Acuerdo de usuario no permite transferir el nombre de usuario y la contraseña a otra persona.
Hackear la página y una mayor pérdida de acceso a la cuenta y al público, obviamente, dañaron tanto la reputación comercial de Alexey como sus intereses inmobiliarios. Sin mencionar el hecho de que esto permitió que una cantidad significativa de información personal y comercial se filtrara a nadie sabe dónde. Los estafadores de la cuenta del empresario le pidieron a sus amigos que les transfirieran grandes cantidades de dinero. Una persona les transfirió 34 mil rublos. Los atacantes tuvieron acceso a la información personal de la cuenta de Alexey durante un día.
La demanda contra VKontakte
Alexey Mironov presentó una demanda contra la red social VKontakte en el Tribunal de Distrito de Smolninsky de San Petersburgo y ahora está esperando el nombramiento del caso. Solicita al tribunal que obligue a la red social a cumplir su propio contrato celebrado en forma de Acuerdo de usuario y que le devuelva el acceso a su página. La administración de VKontakte hasta ahora ha seguido privando a Alexey del acceso a la cuenta sin razón, mientras cumplía fielmente con los términos del Acuerdo de usuario e inmediatamente informó al servicio de soporte técnico de la red social sobre el pirateo. VKontakte se negó a restaurar el acceso a la página para él, refiriéndose a la cláusula del Acuerdo de usuario, que prohíbe a los usuarios transferir el nombre de usuario y la contraseña de su página a terceros. El agente de soporte de VKontakte, con quien Alexey habló, dijo que configurar el reenvío de un número de teléfono solo es posible cuando se visita la oficina del operador y se presenta un pasaporte. De hecho, esto no es así, y esto fue confirmado por Roskomnadzor en respuesta a una apelación de Alexei.
La red social, en violación del Acuerdo de usuario, limitó injustificadamente el acceso de Alexey al uso de su página. Esta es una negativa unilateral a cumplir con las obligaciones que viola el párrafo 1 del art. 30 del Código Civil de la Federación de Rusia. Al privarlo del acceso a la cuenta, VK también privó a Alexey de los derechos administrativos de su público, que es un activo intangible importante para él. (Escribimos sobre el mercado público como una nueva forma de propiedad digital y las peculiaridades de concluir transacciones con ellos)
Agujeros de seguridad en el sistema de identificación MTS
Según la correspondencia realizada por estafadores en nombre del empresario, está claro que sabían sobre su negocio y su viaje de negocios. Llamaron al centro de contacto de MTS, pudieron identificarse en nombre de Alexei y organizaron el desvío de llamadas. Los atacantes podrían obtener sus datos de pasaporte a través de la ingeniería social. Alexey Mironov es el fundador de la franquicia, por lo que muchas personas involucradas en la apertura de establecimientos de franquicias podrían tener sus datos de pasaporte. MTS realizó una investigación interna, pero no pudo establecer quién instaló el desvío de llamadas y cómo el atacante interceptó los SMS. La compañía se declaró inocente, pero al mismo tiempo le ofreció a Alexei una compensación bastante extraña: 750 rublos.
Consideramos que identificar a un suscriptor de forma remota solo utilizando datos personales correctos es una práctica muy dudosa y escribimos una queja a Roskomnadzor sobre verificar que este tipo de proceso de la empresa cumpla con los requisitos de la legislación de datos personales. Como resultado, Roskomnadzor se puso del lado de MTS, lo que indica que administrar los servicios de comunicación después de la identificación remota por teléfono mientras se proporcionan datos personales correctos es bastante normal, y el establecimiento de formas adicionales de protección contra tales acciones no autorizadas es un dolor de cabeza para el suscriptor y no para la empresa. . (lea la respuesta completa -
aquí )
Hackear la cuenta de Alexey Mironov no es el primer caso de acceso no autorizado a los datos de los suscriptores de MTS. En 2018, dos atacantes
robaron una base de datos de 500 mil suscriptores en Novosibirsk, uno de los cuales era un empleado de la compañía. Intentaron vender la base a un precio de 1 rublo por los datos de un suscriptor.
En 2016, las cuentas de telegramas de los activistas opositores Georgy Alburov y Oleg Kozlovsky fueron
pirateadas . Sus cuentas estaban vinculadas a números MTS, y poco antes del hack, el servicio de SMS se apagó y se activó el desvío de llamadas. Las circunstancias del pirateo tampoco se han establecido. En 2019, Oleg Kozlovsky presentó una demanda contra MTS, pero el tribunal la rechazó.
La protección de las cuentas de diversos servicios web y aplicaciones contra la piratería es responsabilidad del propio usuario. Tanto los operadores de telecomunicaciones como el regulador se adhieren a esta posición, según la cual se niegan a compartir estos riesgos con sus propios suscriptores.
El ILV en su respuesta lo describe de esta manera:
"... De acuerdo con la cláusula 2.11 de los Términos de MTS, los suscriptores con el fin de identificarse con el operador de telecomunicaciones tienen la oportunidad de usar la Palabra de Código: la secuencia de caracteres (letras, números) especificada por el Operador en la forma establecida por el Operador que sirve para identificar al Suscriptor en la ejecución del Acuerdo. El suscriptor tiene la oportunidad de establecer la palabra clave tanto al final del contrato (en este caso, se ingresa en el formulario del contrato junto con los detalles requeridos) como en cualquier momento durante la ejecución del contrato. A pesar de esto, el suscriptor Mironov A.K. la palabra clave no se estableció hasta la conexión impugnada del servicio. En tales circunstancias, solo el suscriptor, al establecer una palabra clave para identificarse con el operador de telecomunicaciones, podría mitigar el riesgo de consecuencias adversas de tales situaciones, pero no aprovechó esta oportunidad ".Recuperación de cuenta. Misión imposible
Ya se ha presentado una denuncia sobre la inacción de Roskomnadzor ante el fiscal. Mientras tanto, la policía continúa en silencio sobre la acusación del crimen. Nadie informa nada sobre los resultados de la investigación dentro de la empresa. MTS no admite ninguna culpa. A nadie le importa Al mismo tiempo, VKontakte continúa rechazando que el propietario de la cuenta recupere el acceso hasta que presente una orden policial para establecer el caso penal con el establecimiento de estos hechos y una carta de MTS, en la que se confirmará la impugnabilidad del servicio de reenvío. En una carta con explicaciones suficientemente largas, todavía existe el requisito de que Mironov también debe proporcionar un certificado de MTS, que él es el único propietario (y qué, en algún lugar, los operadores elaboran la propiedad conjunta de los números de teléfono?) Por el usuario del número de teléfono que estaba vinculado a la página. La respuesta llegó a fines de la semana pasada, y teniendo en cuenta todo el estancamiento de la situación y la imposibilidad de negociar con VKontakte durante los últimos seis meses, recurrimos a la corte.
Cómo protegerte de la piratería
Los atacantes también pueden obtener acceso a la administración de números de teléfono a través de otras vulnerabilidades: el protocolo SS7 u obtener un duplicado de una tarjeta SIM con la ayuda de empleados deshonestos del operador.
SS7 es un protocolo técnico que utilizan los operadores. Contiene una
vulnerabilidad antigua y aparentemente irrecuperable, que le permite interceptar los datos transmitidos por los suscriptores durante una llamada o un SMS. Solo los operadores tienen acceso a SS7, pero los atacantes pueden obtenerlo comprando acceso a la red oscura a operadores de estados menos desarrollados oa través de empleados sin escrúpulos de operadores móviles. El ataque ocurre cuando un atacante cambia la dirección del sistema de facturación del suscriptor a su dirección. Con mayor frecuencia, los atacantes le dicen al sistema que el suscriptor está en roaming internacional, por lo que la forma más fácil de protegerse es deshabilitar la posibilidad de roaming internacional si no lo utiliza.
Incluso Alexei Mironov no había configurado un sistema de autenticación de dos factores para Vkontakte. Dicha función
apareció en VK en junio de 2014. Tal vez ella podría proteger su cuenta de la piratería. Vale la pena recordar que simplemente vincular una cuenta a un número de teléfono no es una autenticación de dos factores.
La autenticación de dos factores es la protección de ingresar a su cuenta cuando, además de la contraseña, realizan otra acción. La opción más común es un código SMS. Este método no es el más confiable, ya que los atacantes pueden interceptar un mensaje SMS. Las opciones más seguras son una clave de archivo, códigos de tiempo, una aplicación móvil y un token de hardware.
Desafortunadamente, nos vemos obligados a vivir en una era en la que la protección de datos se está convirtiendo en nuestro propio problema. Se espera que los operadores sean responsables de forma independiente en caso de un hack, como puede ver, no es necesario. Además de esperar Roskomnadzor, que durante mucho tiempo se ha divorciado de la realidad en su práctica de protección de datos. Es increíblemente difícil romper la armadura del "material fallido" del oficial de policía del distrito que rechazará su solicitud en una ocasión similar, especialmente a una persona simple que no sabe cómo funciona este sistema. Lo que queda No se olvide de la higiene digital, confíe en las matemáticas y proteja sus derechos en los tribunales.
