Des fraudeurs ont volé la page VKontakte de l'homme d'affaires Alexei Mironov en raison de la vulnérabilité du système d'identification des clients MTS. Le réseau social n'est pas revenu à son propriétaire et le rend impossible. Maintenant, il poursuit VKontakte pour cela. Ses intérêts sont représentés par le Center for Digital Rights.
Alexey Mironov est le fondateur du réseau Jeffrey's Coffee. Il s'agit d'une franchise de cafés à Moscou et dans les régions. Alex parlait souvent avec des collègues et partenaires de VKontakte et y dirigeait un public très populaire de son réseau, comptant plus de 50 000 abonnés.
En novembre 2018, tôt le matin, alors qu'Alex était en voyage d'affaires en Chine, sa page VK a été piratée. Il a reçu des SMS de VKontakte, WhatsApp et un message de l'opérateur MTS, qui a dit qu'il avait été transféré vers un autre numéro. Alexey n'a pas mis en place de renvoi d'appel, il s'est donc immédiatement inquiété et a appelé MTS. Ils n'ont même pas immédiatement déterminé qu'il y avait vraiment un renvoi d'appel. L'opératrice n'a pu la déconnecter que deux heures après l'appel d'Alexey. Le MTS n'a pas trouvé de données sur la manière et le moment de la connexion du transfert d'appel.
Alexey a vérifié l'accès aux réseaux sociaux et aux messageries instantanées et a vu qu'il ne pouvait plus les entrer par numéro de téléphone. Les pirates ont lié un nombre différent à ses comptes. Avec WhatsApp, le problème a été résolu rapidement. Immédiatement après l'annulation de l'expédition, le messager a retrouvé l'accès au compte à son propriétaire légitime.
Alex a écrit à l'appui de VKontakte avec une demande de retour de la page et a envoyé une photo de passeport. Dans la soirée, il a reçu un SMS que la demande avait été rejetée, le propriétaire actuel ayant confirmé le droit d'accès.
Un spécialiste du support technique a déclaré qu'Alexey pouvait transférer volontairement l'accès à sa page à des tiers, de sorte qu'ils n'y rétabliraient pas l'accès. Alexey a expliqué la situation du piratage, mais on lui a demandé d'envoyer une lettre de confirmation de MTS dans laquelle l'opérateur confirmerait que le piratage avait eu lieu. Une lettre de MTS Alexey a été fournie. Après cela, l'administration VKontakte a exigé que la lettre soit certifiée conforme par la police. Une telle exigence est très difficile à remplir, car la certification des lettres et des pouvoirs d'un signataire n'est pas une fonction de la police. Alexey ne pouvait bloquer la page piratée qu'en interrogeant personnellement des amis de VKontakte à ce sujet. La page n'a pas encore été renvoyée. La seule chose qu'Alexey a réalisée est le verrouillage du compte. Maintenant, il ne peut être utilisé ni par des escrocs ni par lui-même.
Le service d'assistance de VKontakte est une autre histoire. Le service d'assistance VKontakte ne peut être contacté que par des utilisateurs autorisés. Cela signifie que si vous avez perdu l'accès à votre page, vous devez en créer une nouvelle ou demander à des amis de donner accès à leurs pages afin d'écrire un support. Alex a correspondu avec des spécialistes du support de la page de sa femme, et cela ne les a pas dérangés, bien que le contrat d'utilisation ne permette pas de transférer le nom d'utilisateur et le mot de passe à quelqu'un d'autre.
Le piratage de la page et la perte supplémentaire d'accès au compte et au public ont évidemment endommagé la réputation commerciale d'Alexey et ses intérêts immobiliers. Sans parler du fait que cela a permis à une quantité importante d'informations personnelles et commerciales d'être divulguées à personne ne sait où. Des fraudeurs du compte de l'homme d'affaires ont demandé à ses amis de leur transférer de grosses sommes d'argent. Une personne leur a transféré 34 mille roubles. Les assaillants ont eu accès aux informations personnelles du compte d'Alexey pendant une journée.
Le procès contre VKontakte
Alexey Mironov a déposé une plainte contre le réseau social VKontakte devant le tribunal de district de Smolninsky de Saint-Pétersbourg et attend maintenant la nomination de l'affaire. Il demande au tribunal d'obliger le réseau social à respecter son propre contrat conclu sous la forme d'un accord d'utilisation et à lui rendre l'accès à sa page. L'administration de VKontakte a jusqu'à présent continué de priver déraisonnablement Alexey d'accès au compte, tout en respectant fidèlement les termes du contrat d'utilisation et en informant immédiatement le service d'assistance technique du réseau social du piratage. VKontakte a refusé de lui rendre l'accès à la page, se référant à la clause du contrat d'utilisation, qui interdit aux utilisateurs de transférer le login et le mot de passe de leur page à des tiers. L'agent de soutien de VKontakte, avec qui Alexey s'est entretenu, a déclaré que la mise en place du transfert d'un numéro de téléphone n'est possible que lors de la visite du bureau de l'opérateur et de la présentation d'un passeport. En fait, ce n'est pas le cas, et cela a été confirmé par Roskomnadzor en réponse à un appel d'Alexei.
Le réseau social, en violation du contrat d'utilisation, a limité de manière déraisonnable l'accès d'Alexey à l'utilisation de sa page. Il s'agit d'un refus unilatéral de remplir des obligations qui viole le paragraphe 1 de l'art. 30 du Code civil de la Fédération de Russie. Le privant de l'accès au compte, VK a également privé Alexey des droits administratifs de son public, ce qui constitue pour lui un actif immatériel important. (Nous avons écrit sur le marché public en tant que nouvelle forme de propriété numérique et les particularités de conclure des transactions avec eux)
Trous de sécurité dans le système d'identification MTS
Selon la correspondance effectuée par des fraudeurs au nom de l'entrepreneur, il est clair qu'ils connaissaient son entreprise et son voyage d'affaires. Ils ont appelé le centre de contact MTS, ont pu s'identifier au nom d'Alexei et ont mis en place un renvoi d'appel. Les attaquants pouvaient obtenir ses données de passeport via l'ingénierie sociale. Alexey Mironov est le fondateur de la franchise, de sorte que de nombreuses personnes impliquées dans l'ouverture d'établissements de franchise pourraient avoir ses données de passeport. MTS a mené une enquête interne, mais n'a pas pu déterminer qui a installé le transfert d'appel et comment l'attaquant a intercepté les SMS. L'entreprise a plaidé non coupable, mais a en même temps offert à Alexei une compensation plutôt étrange - 750 roubles.
Nous avons considéré que l'identification à distance d'un abonné uniquement à l'aide de données personnelles correctes est une pratique très douteuse et nous avons adressé une plainte à Roskomnadzor pour vérifier que ce type de processus d'entreprise répond aux exigences de la législation sur les données personnelles. En conséquence, Roskomnadzor s'est rangé du côté de MTS, indiquant que la gestion des services de communication après une identification à distance par téléphone tout en fournissant des données personnelles correctes est tout à fait normale, et la mise en place de moyens supplémentaires pour se protéger contre de telles actions non autorisées est un casse-tête pour l'abonné et non pour l'entreprise. . (lire la réponse complète -
ici )
Le piratage du compte d'Alexey Mironov n'est pas le premier cas d'accès non autorisé aux données des abonnés MTS. En 2018, deux attaquants ont
volé une base de données de 500 mille abonnés à Novossibirsk, dont l'un était un employé de l'entreprise. Ils ont essayé de vendre la base au prix de 1 rouble pour les données d'un abonné.
En 2016, des comptes rendus par télégramme des militants de l'opposition Georgy Alburov et Oleg Kozlovsky ont été
piratés . Leurs comptes étaient liés aux numéros MTS, et peu de temps avant le piratage, le service SMS a été désactivé et le transfert d'appel a été activé. Les circonstances du piratage n'ont pas non plus été établies. En 2019, Oleg Kozlovsky a déposé une plainte contre MTS, mais le tribunal l'a rejetée.
La protection des comptes de divers services et applications Web contre le piratage est la responsabilité de l'utilisateur lui-même. Les opérateurs de télécommunications et le régulateur adhèrent à cette position, selon laquelle ils refusent de partager ces risques avec leur propre abonné.
L'ILV dans sa réponse le décrit ainsi:
«... Conformément à la clause 2.11 des Conditions MTS, les abonnés à des fins d'identification avec l'opérateur de télécommunications ont la possibilité d'utiliser le mot de code - la séquence de caractères (lettres, chiffres) spécifiée par l'opérateur sous la forme établie par l'opérateur qui sert à identifier l'abonné dans l'exécution du contrat. L'abonné a la possibilité de définir le mot de code à la fois à la conclusion du contrat (dans ce cas, il est entré dans le formulaire de contrat avec les détails requis) et à tout moment pendant l'exécution du contrat. Malgré cela, l'abonné Mironov A.K. le mot de code n'a été établi que lors de la connexion contestée du service. Dans de telles circonstances, seul l'abonné, en établissant un mot de code pour s'identifier à l'opérateur de télécommunications, pouvait atténuer le risque de conséquences néfastes de telles situations, mais il n'a pas saisi cette opportunité. »Récupération de compte. Mission impossible
Une plainte concernant l'inaction de Roskomnadzor a déjà été déposée auprès du procureur. Pendant ce temps, la police continue de garder le silence sur les allégations du crime. Personne ne rapporte rien sur les résultats de l'enquête au sein de l'entreprise. MTS n'admet aucune culpabilité. Personne ne s'en soucie. Dans le même temps, VKontakte continue de refuser au titulaire du compte d'y accéder jusqu'à ce qu'il présente une ordonnance de police établissant l'affaire pénale avec la constatation de ces faits et une lettre de MTS, dans laquelle il y aura confirmation de la contestabilité du service de transit. Dans la lettre contenant des explications suffisamment longues, il est toujours exigé que Mironov fournisse également un certificat de MTS, qu'il soit l'unique propriétaire (et quoi, quelque part, les opérateurs établissent la copropriété des numéros de téléphone?) Par l'utilisateur du numéro de téléphone lié à la page. La réponse est venue à la fin de la semaine dernière, et compte tenu de toute l'impasse de la situation et de l'impossibilité de négocier avec VKontakte au cours des six derniers mois, nous nous sommes tournés vers le tribunal.
Comment vous protéger contre le piratage
Les attaquants peuvent également accéder à la gestion des numéros de téléphone via d'autres vulnérabilités - le protocole SS7 ou l'obtention d'un duplicata d'une carte SIM avec l'aide d'employés malhonnêtes de l'opérateur.
SS7 est un protocole technique utilisé par les opérateurs. Il contient une
vulnérabilité ancienne et, apparemment, irrécupérable, qui vous permet d'intercepter les données transmises par les abonnés lors d'un appel ou par SMS. Seuls les opérateurs ont accès à SS7, mais les attaquants peuvent l'obtenir en achetant un accès darknet à des opérateurs d'États moins développés ou à des employés peu scrupuleux d'opérateurs mobiles. L'attaque se produit lorsqu'un attaquant modifie l'adresse du système de facturation de l'abonné en son adresse. Le plus souvent, les attaquants indiquent au système que l'abonné est en itinérance internationale, donc la façon la plus simple de vous protéger est de désactiver la possibilité d'itinérance internationale si vous ne l'utilisez pas.
Même Alexei Mironov n'avait pas mis en place de système d'authentification à deux facteurs pour Vkontakte. Une telle fonction
est apparue dans VK en juin 2014. Peut-être qu'elle pourrait protéger son compte contre le piratage. Il convient de rappeler que le simple fait de lier un compte à un numéro de téléphone n'est pas une authentification à deux facteurs.
L'authentification à deux facteurs est la protection de la saisie de votre compte lorsque, en plus du mot de passe, ils effectuent une autre action. L'option la plus courante est un code SMS. Cette méthode n'est pas la plus fiable, car les attaquants peuvent intercepter un message SMS. Des options plus sécurisées sont une clé de fichier, des codes temporels, une application mobile et un jeton matériel.
Malheureusement, nous sommes obligés de vivre à une époque où la protection des données devient notre propre problème. Il est à espérer que les opérateurs seront indépendamment responsables en cas de piratage, comme vous pouvez le voir, n'est pas nécessaire. En plus d'espérer Roskomnadzor, qui a longtemps été dissocié de la réalité dans sa pratique de protection des données. Il est incroyablement difficile de percer l'armure du «matériel défectueux» du policier du district qui laissera tomber votre demande à une occasion similaire, en particulier à une personne simple qui ne sait pas comment ce système fonctionne. Que reste-t-il? N'oubliez pas l'hygiène numérique, faites confiance aux mathématiques et protégez vos droits devant les tribunaux.
