Betrüger haben die VKontakte-Seite des Geschäftsmanns Alexei Mironov aufgrund einer Sicherheitslücke im MTS-Kundenidentifikationssystem gestohlen. Das soziale Netzwerk ist nicht zu seinem Besitzer zurückgekehrt und erfordert es unmöglich. Jetzt verklagt er VKontakte dafür. Seine Interessen werden vom Center for Digital Rights vertreten.
Alexey Mironov ist der Gründer des Jeffrey's Coffee-Netzwerks. Dies ist ein Franchise von Kaffeehäusern in Moskau und den Regionen. Alex sprach oft mit Kollegen und Partnern von VKontakte und leitete dort ein sehr beliebtes Publikum seines Netzwerks mit mehr als 50.000 Abonnenten.
Im November 2018, am frühen Morgen, als Alex auf einer Geschäftsreise in China war, wurde seine VK-Seite gehackt. Er erhielt eine SMS von VKontakte, WhatsApp und eine Nachricht vom MTS-Betreiber, dass er an eine andere Nummer weitergeleitet wurde. Alexey hat keine Anrufweiterleitung eingerichtet, daher machte er sich sofort Sorgen und rief MTS an. Sie haben nicht einmal sofort festgestellt, dass es wirklich eine Anrufweiterleitung gibt. Der Operator konnte sie nur zwei Stunden nach Alexeys Anruf trennen. Das MTS hat keine Daten darüber gefunden, wie und wann die Anrufweiterleitung verbunden war.
Alexey überprüfte den Zugang zu sozialen Netzwerken und Instant Messenger und stellte fest, dass er sie nicht mehr über die Telefonnummer eingeben konnte. Hacker banden eine andere Nummer an seine Konten. Mit WhatsApp wurde das Problem schnell behoben. Unmittelbar nach der Stornierung der Weiterleitung erhielt der Messenger seinem rechtmäßigen Eigentümer wieder Zugriff auf das Konto.
Alex schrieb zur Unterstützung von VKontakte mit der Bitte, die Seite zurückzugeben, und schickte ein Passfoto. Am Abend erhielt er eine SMS, dass der Antrag abgelehnt wurde, da der jetzige Eigentümer das Zugangsrecht bestätigt hat.
Ein Spezialist für technischen Support sagte, Alexey könne den Zugriff auf seine Seite freiwillig an Dritte übertragen, damit diese den Zugriff darauf nicht wiederherstellen. Alexey erklärte die Situation mit dem Hacking, wurde jedoch gebeten, ein Bestätigungsschreiben von MTS zu senden, in dem der Betreiber bestätigen würde, dass das Hacking stattgefunden hatte. Ein Brief von MTS Alexey lieferte. Danach forderte die VKontakte-Administration die Bestätigung des Schreibens durch die Polizei. Eine solche Anforderung ist sehr schwer zu erfüllen, da die Zertifizierung von Briefen und Befugnissen eines Unterzeichners keine Aufgabe der Polizei ist. Alexey konnte die gehackte Seite nur blockieren, indem er Freunde von VKontakte persönlich danach fragte. Die Seite wurde bisher nicht zurückgegeben. Das einzige, was Alexey erreicht hat, ist die Kontosperrung. Jetzt kann es weder von Betrügern noch von ihm selbst verwendet werden.
Der VKontakte-Support ist eine separate Geschichte. Der VKontakte-Support kann nur von autorisierten Benutzern kontaktiert werden. Dies bedeutet, dass Sie, wenn Sie den Zugriff auf Ihre Seite verloren haben, eine neue erstellen oder Freunde bitten müssen, Zugriff auf ihre Seiten zu gewähren, um Unterstützung zu schreiben. Alex korrespondierte mit Support-Spezialisten von der Seite seiner Frau, was sie nicht störte, obwohl die Benutzervereinbarung nicht zulässt, dass der Benutzername und das Passwort an eine andere Person übertragen werden.
Das Hacken der Seite und der weitere Verlust des Zugriffs auf das Konto und die Öffentlichkeit haben offensichtlich sowohl Alexeys Geschäftsruf als auch seine Eigentumsinteressen geschädigt. Ganz zu schweigen von der Tatsache, dass dadurch eine erhebliche Menge an persönlichen und kommerziellen Informationen an niemanden weitergegeben werden konnte, der weiß, wo. Betrüger vom Konto des Geschäftsmanns baten seine Freunde, ihnen große Geldbeträge zu überweisen. Eine Person überwies sie 34 Tausend Rubel. Die Angreifer hatten einen Tag lang Zugriff auf die persönlichen Daten von Alexeys Konto.
Die Klage gegen VKontakte
Alexey Mironov hat beim Bezirksgericht Smolninsky in St. Petersburg Klage gegen das soziale Netzwerk VKontakte eingereicht und wartet nun auf die Ernennung des Falls. Er fordert das Gericht auf, das soziale Netzwerk zu verpflichten, seinen eigenen Vertrag in Form einer Nutzungsvereinbarung zu erfüllen und ihm den Zugang zu seiner Seite zurückzugeben. Die VKontakte-Administration hat Alexey bisher weiterhin unangemessen den Zugriff auf das Konto verwehrt, während er die Bestimmungen der Benutzervereinbarung genau eingehalten und den technischen Support des sozialen Netzwerks unverzüglich über das Hacken informiert hat. VKontakte lehnte es ab, ihm den Zugriff auf die Seite wiederherzustellen, und verwies dabei auf die Klausel der Benutzervereinbarung, die es Benutzern verbietet, das Login und das Passwort ihrer Seite an Dritte zu übertragen. Der VKontakte-Support-Mitarbeiter, mit dem Alexey gesprochen hat, sagte, dass das Einrichten der Weiterleitung einer Telefonnummer nur möglich sei, wenn das Büro des Betreibers besucht und ein Reisepass vorgelegt werde. In der Tat ist dies nicht so, und dies wurde von Roskomnadzor als Antwort auf einen Appell von Alexei bestätigt.
Das soziale Netzwerk hat unter Verstoß gegen die Benutzervereinbarung den Zugriff von Alexey auf die Nutzung seiner Seite in unangemessener Weise eingeschränkt. Dies ist eine einseitige Weigerung, Verpflichtungen zu erfüllen, die gegen Absatz 1 der Kunst verstoßen. 30 des Bürgerlichen Gesetzbuches der Russischen Föderation. VK beraubte ihn des Zugangs zum Konto und beraubte Alexey auch der Verwaltungsrechte seiner Öffentlichkeit, was für ihn ein wichtiger immaterieller Vermögenswert ist. (Wir haben über den öffentlichen Markt als neue Form des digitalen Eigentums und die Besonderheiten des Abschlusses von Transaktionen mit ihnen geschrieben.)
Sicherheitslöcher im MTS-Identifikationssystem
Aus der Korrespondenz der Betrüger im Auftrag des Unternehmers geht hervor, dass sie über sein Geschäft und seine Geschäftsreise Bescheid wussten. Sie riefen das MTS Contact Center an, konnten sich im Namen von Alexei identifizieren und eine Anrufweiterleitung einrichten. Angreifer konnten seine Passdaten über Social Engineering erhalten. Alexey Mironov ist der Gründer des Franchise, so dass viele Leute, die an der Eröffnung von Franchise-Unternehmen beteiligt sind, seine Passdaten haben könnten. MTS führte eine interne Untersuchung durch, konnte jedoch nicht feststellen, wer die Anrufweiterleitung installiert hat und wie der Angreifer SMS abgefangen hat. Das Unternehmen bekannte sich nicht schuldig, bot aber gleichzeitig Alexei eine ziemlich seltsame Entschädigung an - 750 Rubel.
Wir waren der Ansicht, dass die Identifizierung eines Abonnenten aus der Ferne nur unter Verwendung korrekter personenbezogener Daten eine sehr zweifelhafte Praxis ist, und haben eine Beschwerde an Roskomnadzor über die Überprüfung geschrieben, ob diese Art von Unternehmensprozess den Anforderungen der Gesetzgebung für personenbezogene Daten entspricht. Infolgedessen schloss sich Roskomnadzor MTS an und wies darauf hin, dass die Verwaltung von Kommunikationsdiensten nach der Fernidentifizierung per Telefon unter Angabe korrekter personenbezogener Daten ganz normal ist und die Einrichtung zusätzlicher Möglichkeiten zum Schutz vor solchen nicht autorisierten Aktionen dem Abonnenten und nicht dem Unternehmen Kopfschmerzen bereitet . (Lesen Sie die vollständige Antwort -
hier )
Das Hacken des Kontos von Alexey Mironov ist nicht der erste Fall eines unbefugten Zugriffs auf die Daten von MTS-Abonnenten. Im Jahr 2018
stahlen zwei Angreifer in Nowosibirsk eine Datenbank mit 500.000 Abonnenten, von denen einer Mitarbeiter des Unternehmens war. Sie versuchten, die Basis zu einem Preis von 1 Rubel für die Daten eines Abonnenten zu verkaufen.
2016 wurden Telegrammkonten der Oppositionsaktivisten Georgy Alburov und Oleg Kozlovsky
gehackt . Ihre Konten waren an MTS-Nummern gebunden, und kurz vor dem Hack wurde der SMS-Dienst deaktiviert und die Anrufweiterleitung aktiviert. Die Umstände des Hackings sind ebenfalls nicht bekannt. Im Jahr 2019 reichte Oleg Kozlovsky eine Klage gegen MTS ein, die jedoch vom Gericht abgelehnt wurde.
Der Schutz der Konten verschiedener Webdienste und -anwendungen vor Hacking liegt in der Verantwortung des Benutzers. Sowohl die Telekommunikationsbetreiber als auch die Regulierungsbehörde halten an dieser Position fest, wonach sie sich weigern, diese Risiken mit ihrem eigenen Teilnehmer zu teilen.
Das ILV beschreibt es in seiner Antwort folgendermaßen:
„... Gemäß Abschnitt 2.11 der MTS-Bedingungen haben Abonnenten zu Identifikationszwecken die Möglichkeit, das Codewort zu verwenden - die vom Abonnenten angegebene Zeichenfolge (Buchstaben, Zahlen) in der vom Betreiber festgelegten Form, die zur Identifizierung des Abonnenten bei der Ausführung des Vertrags dient. Der Abonnent hat die Möglichkeit, das Codewort sowohl bei Vertragsschluss (in diesem Fall wird es zusammen mit den erforderlichen Angaben in das Vertragsformular eingetragen) als auch jederzeit während der Vertragsabwicklung festzulegen. Trotzdem hat der Abonnent Mironov A.K. Das Codewort wurde erst bei der umstrittenen Verbindung des Dienstes hergestellt. Unter solchen Umständen konnte nur der Teilnehmer durch die Einrichtung eines Codeworts zur Identifizierung mit dem Telekommunikationsbetreiber das Risiko nachteiliger Folgen solcher Situationen verringern, nutzte diese Gelegenheit jedoch nicht. “Kontowiederherstellung. Mission unmöglich
Eine Beschwerde über die Untätigkeit von Roskomnadzor wurde bereits bei der Staatsanwaltschaft eingereicht. Unterdessen schweigt die Polizei weiterhin über den Vorwurf des Verbrechens. Niemand berichtet etwas über die Ergebnisse der Untersuchung innerhalb des Unternehmens. MTS gibt keine Schuld zu. Niemand kümmert sich darum. Gleichzeitig verweigert VKontakte dem Kontoinhaber weiterhin die Wiedererlangung des Zugangs, bis er eine polizeiliche Anordnung zur Feststellung des Strafverfahrens mit der Feststellung dieser Tatsachen und ein Schreiben von MTS einreicht, in dem die Anfechtbarkeit des Speditionsdienstes bestätigt wird. In einem Brief mit ausreichend langen Erläuterungen muss Mironov weiterhin ein Zertifikat von MTS vorlegen, dass er der alleinige Eigentümer ist (und was erarbeiten die Betreiber irgendwo als Miteigentum an Telefonnummern?). Durch den Benutzer der Telefonnummer, die mit der Seite verknüpft war. Die Antwort kam Ende letzter Woche, und angesichts der Sackgasse und der Unfähigkeit, in den letzten sechs Monaten mit VKontakte zu verhandeln, wandten wir uns an das Gericht.
So schützen Sie sich vor Hacking
Angreifer können auch über andere Sicherheitslücken auf das Telefonnummernmanagement zugreifen - das SS7-Protokoll oder mithilfe unehrlicher Mitarbeiter des Betreibers ein Duplikat einer SIM-Karte erhalten.
SS7 ist ein technisches Protokoll, das Carrier verwenden. Es enthält eine alte und anscheinend nicht behebbare
Sicherheitsanfälligkeit , mit der Sie Daten abfangen können, die von Teilnehmern während eines Anrufs oder per SMS übertragen wurden. Nur Betreiber haben Zugang zu SS7, aber Angreifer können diesen erhalten, indem sie Darknet-Zugang von Betreibern weniger entwickelter Staaten oder von skrupellosen Mitarbeitern von Mobilfunkbetreibern erwerben. Der Angriff erfolgt, wenn ein Angreifer die Adresse des Abrechnungssystems des Teilnehmers in seine Adresse ändert. In den meisten Fällen teilen Angreifer dem System mit, dass sich der Teilnehmer im internationalen Roaming befindet. Der einfachste Weg, sich zu schützen, besteht darin, die Möglichkeit des internationalen Roamings zu deaktivieren, wenn Sie es nicht verwenden.
Selbst Alexei Mironov hatte kein Zwei-Faktor-Authentifizierungssystem für Vkontakte eingerichtet. Eine solche Funktion
erschien im Juni 2014 in VK. Vielleicht könnte sie sein Konto vor Hacking schützen. Es sei daran erinnert, dass das einfache Verknüpfen eines Kontos mit einer Telefonnummer keine Zwei-Faktor-Authentifizierung ist.
Die Zwei-Faktor-Authentifizierung schützt die Eingabe Ihres Kontos, wenn zusätzlich zum Kennwort eine weitere Aktion ausgeführt wird. Die häufigste Option ist ein SMS-Code. Diese Methode ist nicht die zuverlässigste, da Angreifer eine SMS-Nachricht abfangen können. Sicherere Optionen sind ein Dateischlüssel, Zeitcodes, eine mobile Anwendung und ein Hardware-Token.
Leider sind wir gezwungen, in einer Zeit zu leben, in der der Datenschutz zu unserem eigenen Problem wird. Es ist zu hoffen, dass die Betreiber im Falle eines Hacks unabhängig verantwortlich sind, wie Sie sehen können, was nicht notwendig ist. Neben der Hoffnung auf Roskomnadzor, der in seiner Datenschutzpraxis seit langem von der Realität getrennt ist. Es ist unglaublich schwierig, die Panzerung des „ausgefallenen Materials“ des Distriktpolizisten zu durchbrechen, der Ihre Bewerbung bei einer ähnlichen Gelegenheit ablehnt, insbesondere für eine einfache Person, die nicht weiß, wie dieses System funktioniert. Was bleibt? Vergessen Sie nicht die digitale Hygiene, vertrauen Sie der Mathematik und schützen Sie Ihre Rechte vor Gericht.
