سرق المحتالون صفحة فكونتاكتي لرجل الأعمال أليكسي ميرونوف بسبب الضعف في نظام تحديد هوية العميل MTS. لم تعد الشبكة الاجتماعية إلى مالكها وتتطلب ذلك. الآن هو يقاضي فكونتاكتي لذلك. ويمثل اهتماماته مركز الحقوق الرقمية.
أليكسي ميرونوف هو مؤسس شبكة جيفري للقهوة. هذا هو امتياز المقاهي في موسكو والمناطق. تحدث أليكس غالبًا مع زملائه وشركائه في فكونتاكتي وقاد جمهورًا شائعًا جدًا من شبكته هناك ، حيث بلغ عدد المشتركين أكثر من 50000 مشترك.
في نوفمبر 2018 ، في وقت مبكر من الصباح ، عندما كان أليكس في رحلة عمل في الصين ، تم اختراق صفحة VK الخاصة به. تلقى رسالة نصية قصيرة من فكونتاكتي وواتس آب ورسالة من مشغل MTS ، والتي تفيد بأنه قد تمت إعادة توجيهه إلى رقم آخر. لم يقم أليكسي بإعداد تحويل المكالمات ، لذلك شعر بالقلق على الفور واتصل بـ MTS. لم يحددوا على الفور أن هناك بالفعل إعادة توجيه المكالمات. كان بإمكان المشغل فصلها بعد ساعتين فقط من اتصال أليكسي. لم يعثر MTS على بيانات حول كيفية ووقت اتصال تحويل المكالمات.
فحص أليكسي الوصول إلى الشبكات الاجتماعية والمراسلين الفوريين ورأى أنه لم يعد بإمكانه الدخول إليها برقم الهاتف. ربط المتسللين عددا مختلفا لحساباته. مع WhatsApp ، تم حل المشكلة بسرعة. مباشرة بعد إلغاء إعادة التوجيه ، استعاد الرسول الوصول إلى الحساب لمالكه الشرعي.
كتب أليكس لدعم فكونتاكتي مع طلب لإعادة الصفحة وإرسال صورة جواز سفر. في المساء ، تلقى رسالة نصية تفيد بأن الطلب قد تم رفضه ، حيث أكد المالك الحالي حق الوصول.
قال أحد أخصائي الدعم الفني إن Alexey يمكنه نقل الوصول طوعًا إلى صفحته إلى جهات خارجية ، وبالتالي لن يتمكنوا من استعادة الوصول إليها. أوضح أليكسي الموقف مع القرصنة ، ولكن طُلب منه إرسال رسالة تأكيد من MTS يؤكد فيها المشغل أن القرصنة قد حدثت. رسالة من MTS أليكسي المقدمة. بعد ذلك ، طالبت إدارة فكونتاكتي بأن تصادق الشرطة على الخطاب. من الصعب للغاية تحقيق هذا الشرط ، لأن التصديق على خطابات وسلطات الموقّع ليس من مهام الشرطة. لا يستطيع Alexey حجب الصفحة التي تم اختراقها إلا من خلال سؤال شخصيا عن أصدقاء VKontakte حول هذا الموضوع. لم يتم إرجاع الصفحة حتى الآن. الشيء الوحيد الذي تحققه أليكسي هو تأمين الحساب. الآن لا يمكن استخدامه إما عن طريق المحتالين أو من قبل نفسه.
خدمة دعم فكونتاكتي هي قصة منفصلة. يمكن الاتصال بخدمة دعم VKontakte فقط من قبل المستخدمين المصرح لهم. هذا يعني أنك إذا فقدت الوصول إلى صفحتك ، فيجب أن تنشئ صفحة جديدة أو تطلب من الأصدقاء منح حق الوصول إلى صفحاتهم لكتابة الدعم. كان أليكس يتوافق مع متخصصي الدعم من صفحة زوجته ، وهذا لم يزعجهم ، على الرغم من أن اتفاقية المستخدم لا تسمح بنقل اسم المستخدم وكلمة المرور إلى شخص آخر.
اختراق الصفحة وفقدان مزيد من إمكانية الوصول إلى الحساب والجمهور ، من الواضح أنه أضر بسمعة أليكسي التجارية ومصالح ملكيته. ناهيك عن حقيقة أن هذا سمح بتسريب كمية كبيرة من المعلومات الشخصية والتجارية إلى لا أحد يعرف أين. طلب المحتالون من حساب رجل الأعمال من أصدقائه تحويل مبالغ كبيرة من المال إليهم. نقل شخص واحد منهم 34 ألف روبل. تمكن المهاجمون من الوصول إلى المعلومات الشخصية لحساب أليكسي لمدة يوم واحد.
الدعوى المرفوعة ضد فكونتاكتي
رفع أليكسي ميرونوف دعوى قضائية ضد شبكة فكونتاكتي الاجتماعية في محكمة منطقة سان بطرسبرج في سان بطرسبرج وينتظر الآن تعيين القضية. يطلب من المحكمة إجبار الشبكة الاجتماعية على الوفاء بالعقد الخاص بها المبرم في شكل اتفاقية مستخدم وإعادة الوصول إلى صفحتها. استمرت إدارة فكونتاكتي حتى الآن في حرمان أليكسي من الوصول إلى الحساب بشكل غير معقول ، في حين أنه امتثل بصدق لشروط اتفاقية المستخدم وأبلغ على الفور خدمة الدعم الفني للشبكة الاجتماعية عن القرصنة. رفض فكونتاكتي استعادة الوصول إلى الصفحة له ، في إشارة إلى بند اتفاقية المستخدم ، الذي يحظر على المستخدمين نقل تسجيل الدخول وكلمة المرور لصفحتهم إلى أطراف ثالثة. قال وكيل دعم فكونتاكتي ، الذي تحدث معه أليكسي ، إن إعداد إعادة توجيه رقم الهاتف لا يمكن تحقيقه إلا عند زيارة مكتب المشغل وتقديم جواز سفر. في الواقع ، هذا ليس كذلك ، وهذا ما أكده روسكومنادور رداً على نداء من أليكسي.
الشبكة الاجتماعية ، في انتهاك لاتفاقية المستخدم ، حدت بشكل غير معقول من وصول أليكسي إلى استخدام صفحته. هذا رفض من جانب واحد للوفاء بالالتزامات التي تنتهك الفقرة 1 من الفن. 30 من القانون المدني للاتحاد الروسي. حرمانه من الوصول إلى الحساب ، كما حرم VK أليكسي من الحقوق الإدارية لعامة الناس ، وهو أحد الأصول غير الملموسة الهامة بالنسبة له. (لقد كتبنا عن السوق العامة كشكل جديد من أشكال الملكية الرقمية وخصائص إبرام المعاملات معهم)
ثقوب الأمان في نظام تحديد MTS
وفقًا للمراسلات التي أجراها المحتالون نيابةً عن رجل الأعمال ، من الواضح أنهم كانوا على دراية برحلته التجارية والتجارية. لقد اتصلوا بمركز اتصال MTS ، وتمكّنوا من التعرف نيابة عن Alexei وإعداد تحويل المكالمات. يمكن للمهاجمين الحصول على بيانات جواز سفره من خلال الهندسة الاجتماعية. أليكسي ميرونوف هو مؤسس الامتياز ، لذلك يمكن للعديد من الأشخاص المشاركين في فتح مؤسسات الامتياز الحصول على بيانات جواز سفره. أجرت MTS تحقيقًا داخليًا ، لكن لم تستطع تحديد من قام بتثبيت إعادة توجيه الاتصال وكيف اعترض المهاجم الرسائل النصية القصيرة. أقرت الشركة بأنه غير مذنب ، لكن في الوقت نفسه عرضت على أليكسي تعويضًا غريبًا إلى حد ما - 750 روبل.
لقد اعتبرنا أن تحديد المشترك عن بُعد باستخدام البيانات الشخصية الصحيحة فقط هو ممارسة مشكوك فيها للغاية وكتبنا شكوى إلى Roskomnadzor حول التحقق من أن هذا النوع من عمليات الشركة يفي بمتطلبات تشريع البيانات الشخصية. نتيجة لذلك ، انحازت Roskomnadzor إلى MTS ، مما يشير إلى أن إدارة خدمات الاتصال بعد التعرف عن بُعد عبر الهاتف مع توفير البيانات الشخصية الصحيحة أمر طبيعي تمامًا ، وإنشاء طرق إضافية للحماية من مثل هذه الإجراءات غير المصرح بها هو صداع للمشترك وليس للشركة . (اقرأ الإجابة الكاملة -
هنا )
إن اختراق حساب Alexey Mironov ليس الحالة الأولى للوصول غير المصرح به إلى بيانات المشتركين MTS. في عام 2018 ،
سرق مهاجمان قاعدة بيانات تضم 500 ألف مشترك في نوفوسيبيرسك ، أحدهم موظف في الشركة. حاولوا بيع القاعدة بسعر 1 روبل لبيانات مشترك واحد.
في عام 2016 ، تم
اختراق حسابات البرقيات لنشطاء المعارضة جورج ألبوروف وأوليغ كوزلوفسكي. تم ربط حساباتهم بأرقام MTS ، وقبل فترة وجيزة من الاختراق ، تم إيقاف تشغيل خدمة الرسائل القصيرة وتم تشغيل تحويل المكالمات. كما لم يتم تحديد ظروف القرصنة. في عام 2019 ، رفع Oleg Kozlovsky دعوى قضائية ضد MTS ، لكن المحكمة رفضت ذلك.
تقع مسؤولية حماية حسابات مختلف خدمات الويب والتطبيقات من القرصنة على عاتق المستخدم نفسه. يلتزم كل من مشغلي الاتصالات والجهة المنظمة بهذا الموقف ، حيث يرفضون بمشاركة هذه المخاطر مع المشترك الخاص بهم.
يصفها ILV في إجابته بهذه الطريقة:
"... وفقًا للفقرة 2.11 من شروط MTS ، تُمنح للمشتركين بغرض تحديد الهوية مع مشغل الاتصالات الفرصة لاستخدام Code Word - تسلسل الأحرف (الحروف والأرقام) المحددة من قبل المشغّل في النموذج الذي أنشأه المشغّل والذي يعمل على تحديد المشترك في تنفيذ الاتفاقية. لدى المشترك الفرصة لتعيين كلمة الكود في نهاية العقد (في هذه الحالة ، يتم إدخالها في نموذج العقد مع التفاصيل المطلوبة) وفي أي وقت أثناء تنفيذ العقد. على الرغم من هذا ، فإن المشترك Mironov A.K. لم يتم تأسيس كلمة الكود حتى يتم الاتصال بالخدمة المتنازع عليها. في مثل هذه الظروف ، يمكن للمشترك فقط ، من خلال إنشاء كلمة مرور لتحديد الهوية مع مشغل الاتصالات ، أن يخفف من خطر العواقب الضارة الناجمة عن مثل هذه الحالات ، لكنه لم يستغل هذه الفرصة. "استرداد الحساب. المهمة مستحيلة
تم بالفعل تقديم شكوى حول تقاعس Roskomnadzor إلى المدعي العام. وفي الوقت نفسه ، لا تزال الشرطة صامتة بشأن ادعاء الجريمة. لا أحد يبلغ عن نتائج التحقيق داخل الشركة. MTS لا يعترف بأي ذنب. لا أحد يهتم. في الوقت نفسه ، تواصل VKontakte رفض صاحب الحساب لاستعادة الوصول إليه حتى يرفع أمر الشرطة لإثبات القضية الجنائية مع إثبات هذه الوقائع وخطاب من MTS ، حيث سيكون هناك تأكيد لمنافسة خدمة إعادة التوجيه. في خطاب مع تفسيرات طويلة بما فيه الكفاية ، لا يزال هناك شرط أن Mironov يجب أن يقدم أيضًا شهادة من MTS ، أنه المالك الوحيد (وماذا ، في مكان ما ، يضع المشغلون ملكية مشتركة لأرقام الهواتف؟) بواسطة مستخدم رقم الهاتف الذي تم ربطه بالصفحة. جاء الجواب في نهاية الأسبوع الماضي ، ومع الأخذ في الاعتبار جميع المأزق الذي يعاني منه الوضع وعدم القدرة على التفاوض مع فكونتاكتي خلال الأشهر الستة الماضية ، لجأنا إلى المحكمة.
كيف تحمي نفسك من القرصنة
يمكن للمهاجمين أيضًا الوصول إلى إدارة أرقام الهاتف من خلال نقاط الضعف الأخرى - بروتوكول SS7 أو الحصول على نسخة مكررة من بطاقة SIM بمساعدة الموظفين غير الشرفاء في المشغل.
SS7 هو بروتوكول فني تستخدمه شركات الجوال. أنه يحتوي على
ثغرة أمنية قديمة ، على ما يبدو ، غير قابلة للاسترداد ، مما يسمح لك باعتراض البيانات المرسلة من قبل المشتركين أثناء مكالمة أو في رسالة نصية قصيرة. المشغلون فقط لديهم حق الوصول إلى SS7 ، ولكن يمكن للمهاجمين الحصول عليه من خلال شراء وصول darknet من المشغلين في البلدان الأقل نمواً أو من خلال الموظفين عديمي الضمير لمشغلي شبكات الهاتف النقال. يحدث الهجوم عندما يغير المهاجم عنوان نظام فوترة المشترك إلى عنوانه. في معظم الأحيان ، يخبر المهاجمون النظام أن المشترك في خدمة التجوال الدولي ، وبالتالي فإن أسهل طريقة لحماية نفسك هي تعطيل إمكانية التجوال الدولي إذا لم تستخدمه.
حتى أليكسي ميرونوف لم يقم بإنشاء نظام مصادقة ثنائي العامل لفكونتاكتي.
ظهرت هذه الوظيفة في VK في يونيو 2014. ربما يمكنها حماية حسابه من القرصنة. تجدر الإشارة إلى أن مجرد ربط حساب برقم هاتف ليس مصادقة ثنائية.
المصادقة ثنائية العامل هي حماية إدخال حسابك عندما يقومون ، بالإضافة إلى كلمة المرور ، بإجراء آخر. الخيار الأكثر شيوعًا هو رمز الرسائل القصيرة. هذه الطريقة ليست الأكثر موثوقية ، حيث يمكن للمهاجمين اعتراض رسالة SMS. الخيارات الأكثر أمانًا هي مفتاح الملف ، رموز الوقت ، تطبيق الهاتف المحمول ورمز الجهاز.
لسوء الحظ ، نحن مضطرون للعيش في عصر أصبحت فيه حماية البيانات مشكلتنا الخاصة. من المأمول أن يكون المشغلون مسئولين بشكل مستقل في حالة حدوث اختراق ، كما ترون ، ليس ضروريًا. وكذلك يأمل Roskomnadzor ، الذي طالما تم فصله عن الواقع في ممارساته لحماية البيانات. من الصعب للغاية اختراق درع "المادة الفاشلة" لضابط شرطة المنطقة الذي سيتخلى عن طلبك في مناسبة مماثلة ، وخاصة لشخص بسيط لا يعرف كيف يعمل هذا النظام. ما تبقى؟ لا تنس النظافة الرقمية ، والثقة في الرياضيات وحماية حقوقك في المحكمة.
