जालसाजों ने एमटीएस ग्राहक पहचान प्रणाली में भेद्यता के कारण व्यवसायी अलेक्सी मिरोनोव के वीकॉन्टेक्ट पेज को चुरा लिया। सोशल नेटवर्क अपने मालिक के पास नहीं लौटा है और इसके लिए असंभव है। अब वह इसके लिए VKontakte पर मुकदमा कर रहे हैं। उनके हितों का प्रतिनिधित्व डिजिटल राइट्स सेंटर द्वारा किया जाता है।
एलेक्सी मिरोनोव जेफरी के कॉफी नेटवर्क के संस्थापक हैं। यह मॉस्को और क्षेत्रों में कॉफी हाउस की एक फ्रैंचाइज़ी है। एलेक्स अक्सर VKontakte के सहयोगियों और सहयोगियों के साथ बात करते थे और वहाँ अपने नेटवर्क के एक बहुत लोकप्रिय जनता का नेतृत्व किया, 50,000 से अधिक ग्राहकों की संख्या।
नवंबर 2018 में, सुबह-सुबह, जब एलेक्स चीन में व्यापार यात्रा पर था, उसका वीके पेज हैक हो गया था। उन्हें VKontakte, व्हाट्सएप से एसएमएस और एमटीएस ऑपरेटर का एक संदेश मिला, जिसमें कहा गया था कि उन्हें दूसरे नंबर पर भेज दिया गया है। एलेक्सी ने कॉल फॉरवर्डिंग की स्थापना नहीं की थी, इसलिए वह तुरंत चिंतित हो गए और एमटीएस को फोन किया। उन्होंने तुरंत यह भी निर्धारित नहीं किया कि वास्तव में कॉल अग्रेषण है। एलेक्सी के फोन करने के दो घंटे बाद ही ऑपरेटर उसे डिस्कनेक्ट कर सकता था। कॉल अग्रेषण कैसे और कब जुड़ा था, इस पर एमटीएस को डेटा नहीं मिला।
एलेक्सी ने सामाजिक नेटवर्क और तत्काल दूतों तक पहुंच की जांच की और देखा कि वह अब उन्हें फोन नंबर द्वारा दर्ज नहीं कर सकता है। हैकर्स ने उसके खातों में एक अलग नंबर बांध दिया। व्हाट्सएप के साथ, इस मुद्दे को जल्दी से हल किया गया था। अग्रसारण रद्द होने के तुरंत बाद, दूत ने अपने सही मालिक के खाते में पहुंच प्राप्त कर ली।
एलेक्स ने पेज को वापस करने के अनुरोध के साथ VKontakte के समर्थन में लिखा और एक पासपोर्ट फोटो भेजा। शाम को उन्हें एक एसएमएस मिला कि आवेदन खारिज कर दिया गया है, क्योंकि वर्तमान मालिक ने पहुंच के अधिकार की पुष्टि की है।
एक तकनीकी सहायता विशेषज्ञ ने कहा कि एलेक्सी स्वेच्छा से अपने पृष्ठ तक पहुंच को तीसरे पक्ष में स्थानांतरित कर सकता है, इसलिए वे इसे तक पहुंच बहाल नहीं करेंगे। एलेक्सी ने हैकिंग के साथ स्थिति की व्याख्या की, लेकिन उन्हें एमटीएस से एक पुष्टि पत्र भेजने के लिए कहा गया, जिसमें ऑपरेटर यह पुष्टि करेगा कि हैकिंग हुई थी। एमटीएस एलेक्सी का एक पत्र प्रदान किया गया। उसके बाद, VKontakte प्रशासन ने मांग की कि पत्र को पुलिस द्वारा प्रमाणित किया जाए। ऐसी आवश्यकता को पूरा करना बहुत मुश्किल है, क्योंकि एक हस्ताक्षरकर्ता के पत्रों और शक्तियों का प्रमाणन पुलिस का कार्य नहीं है। एलेक्सी हैक किए गए पेज को केवल व्यक्तिगत रूप से VKontakte के दोस्तों से इसके बारे में पूछ सकता है। पृष्ठ अब तक वापस नहीं किया गया है। एलेक्सी ने केवल एक चीज हासिल की है, वह है तालाबंदी। अब इसका इस्तेमाल या तो स्कैमर द्वारा या खुद से नहीं किया जा सकता है।
VKontakte समर्थन सेवा एक अलग कहानी है। VKontakte समर्थन सेवा केवल अधिकृत उपयोगकर्ताओं द्वारा ही संपर्क की जा सकती है। इसका मतलब यह है कि यदि आपने अपने पृष्ठ तक पहुंच खो दी है, तो आपको एक नया बनाना होगा या दोस्तों को समर्थन लिखने के लिए उनके पृष्ठों तक पहुंच प्रदान करने के लिए कहें। एलेक्स ने अपनी पत्नी के पेज से सहायता विशेषज्ञों के साथ पत्राचार किया, और इससे उन्हें कोई परेशानी नहीं हुई, हालांकि उपयोगकर्ता अनुबंध उपयोगकर्ता नाम और पासवर्ड को किसी और को स्थानांतरित करने की अनुमति नहीं देता है।
पेज को हैक करना और खाता और जनता तक पहुंच का और नुकसान, जाहिर है, एलेक्सी की व्यावसायिक प्रतिष्ठा और उसकी संपत्ति के हितों दोनों को नुकसान पहुंचा। इस तथ्य का उल्लेख नहीं करने के लिए कि इसने व्यक्तिगत और वाणिज्यिक जानकारी की एक महत्वपूर्ण मात्रा को लीक करने की अनुमति दी है, जहां कोई नहीं जानता है। व्यवसायी के खाते से जालसाज़ों ने उनके दोस्तों को बड़ी मात्रा में धन हस्तांतरित करने के लिए कहा। एक व्यक्ति ने उन्हें 34 हजार रूबल हस्तांतरित किए। हमलावरों की एक दिन के लिए एलेक्सी के खाते की व्यक्तिगत जानकारी तक पहुंच थी।
VKontakte के खिलाफ मुकदमा
एलेक्सी मिरोनोव ने सेंट पीटर्सबर्ग के स्मोलनिंस्की डिस्ट्रिक्ट कोर्ट में सोशल नेटवर्क VKontakte के खिलाफ मुकदमा दायर किया और अब मामले की नियुक्ति का इंतजार कर रहे हैं। वह अदालत से कहता है कि वह सोशल नेटवर्क को उपयोगकर्ता अनुबंध के रूप में समाप्त किए गए अपने अनुबंध को पूरा करने के लिए और इसके पृष्ठ पर पहुंच के लिए इसे वापस करने के लिए बाध्य करे। VKontakte प्रशासन ने अब तक एलेक्सी को अनुचित तरीके से खाते तक पहुंच से वंचित करना जारी रखा है, जबकि उसने विश्वासपूर्वक उपयोगकर्ता समझौते की शर्तों का पालन किया और तुरंत हैकिंग के बारे में सोशल नेटवर्क की तकनीकी सहायता सेवा को सूचित किया। VKontakte ने उपयोगकर्ता अनुबंध के खंड का हवाला देते हुए, पेज पर उसकी पहुंच बहाल करने से इनकार कर दिया, जो उपयोगकर्ताओं को अपने पृष्ठ के लॉगिन और पासवर्ड को तीसरे पक्ष में स्थानांतरित करने से रोकता है। VKontakte सपोर्ट एजेंट, जिसके साथ अलेक्सी ने कहा, फोन नंबर को अग्रेषित करना केवल ऑपरेटर के कार्यालय का दौरा करने और पासपोर्ट प्रस्तुत करने के लिए संभव है। वास्तव में, ऐसा नहीं है, और एलेक्सी की एक अपील के जवाब में रोसकोम्नाडज़ोर द्वारा इसकी पुष्टि की गई थी।
उपयोगकर्ता अनुबंध के उल्लंघन में सामाजिक नेटवर्क, अनुचित रूप से अपने पृष्ठ के उपयोग के लिए एलेक्सी की पहुंच को सीमित करता है। यह उन दायित्वों को पूरा करने के लिए एकतरफा इनकार है जो कला के अनुच्छेद 1 का उल्लंघन करते हैं। 30 रूसी संघ के नागरिक संहिता के। खाते में पहुंच से वंचित, वीके ने एलेक्सी को उनके सार्वजनिक अधिकारों से भी वंचित किया, जो उनके लिए एक महत्वपूर्ण अमूर्त संपत्ति है। (हमने सार्वजनिक बाजार के बारे में डिजिटल प्रॉपर्टी के एक नए रूप और उनके साथ लेन-देन के समापन की विशेषताओं के बारे में लिखा है)
एमटीएस पहचान प्रणाली में सुरक्षा छेद
उद्यमी की ओर से धोखेबाजों द्वारा किए गए पत्राचार के अनुसार, यह स्पष्ट है कि वे उसकी व्यवसाय और व्यवसाय यात्रा के बारे में जानते थे। उन्होंने एमटीएस संपर्क केंद्र कहा, अलेक्सी की ओर से पहचान करने और कॉल अग्रेषण स्थापित करने में सक्षम थे। हमलावर सोशल इंजीनियरिंग के माध्यम से अपना पासपोर्ट डेटा प्राप्त कर सकते थे। एलेक्सी मिरोनोव फ्रैंचाइज़ी के संस्थापक हैं, इसलिए फ्रैंचाइज़ी प्रतिष्ठान खोलने में शामिल कई लोगों के पास उनका पासपोर्ट डेटा हो सकता है। एमटीएस ने एक आंतरिक जांच की, लेकिन यह स्थापित नहीं कर सका कि किसने कॉल फॉरवर्डिंग स्थापित की और कैसे हमलावर ने एसएमएस को बाधित किया। कंपनी ने दोषी नहीं होने का अनुरोध किया, लेकिन एक ही समय में अलेक्सी को एक अजीब मुआवजे की पेशकश की - 750 रूबल।
हमने माना कि केवल व्यक्तिगत डेटा का उपयोग करके किसी ग्राहक की दूरस्थ रूप से पहचान करना एक बहुत ही संदिग्ध अभ्यास है और उसने Roskomnadzor को एक शिकायत लिखकर पुष्टि की कि इस तरह की कंपनी प्रक्रिया व्यक्तिगत डेटा कानून की आवश्यकताओं को पूरा करती है। नतीजतन, Roskomnadzor ने एमटीएस के साथ पक्षपात किया, यह दर्शाता है कि व्यक्तिगत व्यक्तिगत डेटा प्रदान करते हुए टेलीफोन द्वारा दूरस्थ पहचान के बाद संचार सेवाओं का प्रबंधन काफी सामान्य है, और इस तरह के अनधिकृत कार्यों से बचाने के लिए अतिरिक्त तरीकों की स्थापना ग्राहक के लिए सिरदर्द है और कंपनी नहीं । (पूरा जवाब पढ़ें -
यहां )
एलेक्सिस मिरोनोव के खाते को हैक करना एमटीएस ग्राहकों के डेटा तक अनधिकृत पहुंच का पहला मामला नहीं है। 2018 में, दो हमलावरों
ने नोवोसिबिर्स्क में 500 हजार ग्राहकों का एक डेटाबेस
चुरा लिया था, जिनमें से एक कंपनी का कर्मचारी था। उन्होंने एक ग्राहक के डेटा के लिए 1 रूबल की कीमत पर आधार को बेचने की कोशिश की।
2016 में, विपक्षी कार्यकर्ताओं जियोर्जी अल्बुरोव और ओलेग कोज़लोवस्की के टेलीग्राम खाते
हैक कर लिए
गए थे। उनके खाते एमटीएस नंबरों से बंधे थे, और हैक से कुछ समय पहले, एसएमएस सेवा को बंद कर दिया गया था और कॉल अग्रेषण चालू कर दिया गया था। हैकिंग के हालात भी स्थापित नहीं हुए हैं। 2019 में, ओलेग कोज़लोवस्की ने एमटीएस के खिलाफ मुकदमा दायर किया, लेकिन अदालत ने इसे खारिज कर दिया।
विभिन्न वेब सेवाओं और एप्लिकेशन को हैकिंग से सुरक्षित रखना खातों की जिम्मेदारी है। दूरसंचार ऑपरेटर और नियामक दोनों ही इस स्थिति का पालन करते हैं, जिसके अनुसार वे इन जोखिमों को अपने स्वयं के ग्राहक के साथ साझा करने से इनकार करते हैं।
ILV ने अपने उत्तर में इसका इस तरह वर्णन किया है:
“... एमटीएस की शर्तों के खंड 11 के अनुसार, दूरसंचार ऑपरेटर के साथ पहचान के उद्देश्य के लिए ग्राहकों को कोड वर्ड का उपयोग करने का अवसर दिया जाता है - ऑपरेटर द्वारा निर्दिष्ट प्रपत्र में वर्णों (अक्षरों, संख्याओं) के अनुक्रम द्वारा निर्दिष्ट प्रपत्र जो समझौते के निष्पादन में सब्सक्राइबर की पहचान करने का कार्य करता है। ग्राहक के पास अनुबंध के समापन पर कोड शब्द सेट करने का अवसर होता है (इस मामले में, अनुबंध के रूप में इसे आवश्यक विवरण के साथ दर्ज किया जाता है) और अनुबंध के निष्पादन के दौरान किसी भी समय। इसके बावजूद, ग्राहक मिरोनोव ए.के. कोड शब्द की स्थापना तब तक नहीं की गई थी जब तक कि सेवा का चुनाव नहीं किया गया था। ऐसी परिस्थितियों में, केवल उपभोक्ता, दूरसंचार ऑपरेटर के साथ पहचान के लिए एक कोड वर्ड स्थापित करके, ऐसी परिस्थितियों से प्रतिकूल परिणामों के जोखिम को कम कर सकता है, लेकिन उसने इस अवसर का उपयोग नहीं किया। ”खाता वसूली। मिशन असंभव
अभियोजक के साथ रोसकोम्नाडज़ोर की निष्क्रियता के बारे में एक शिकायत पहले ही दर्ज की जा चुकी है। इस बीच, अपराध के आरोप पर पुलिस चुप है। कंपनी के अंदर जांच के परिणामों के बारे में कोई भी कुछ भी नहीं बताता है। एमटीएस किसी भी अपराध को स्वीकार नहीं करता है। किसी को परवाह नहीं है। उसी समय, VKontakte खाता स्वामी को उस तक पहुंच प्राप्त करने से मना करना जारी रखता है जब तक कि वह इन तथ्यों की स्थापना के साथ आपराधिक मामला स्थापित करने के लिए पुलिस आदेश नहीं लाता है और एमटीएस का एक पत्र है, जिसमें अग्रेषण सेवा की विश्वसनीयता की पुष्टि होगी। पर्याप्त रूप से लंबी स्पष्टीकरण के साथ एक पत्र में, अभी भी एक आवश्यकता है कि मिरोनोव को एमटीएस से एक प्रमाण पत्र भी प्रदान करना होगा, कि वह एकमात्र मालिक है (और क्या, कहीं, ऑपरेटर फोन नंबर के संयुक्त स्वामित्व को आकर्षित करते हैं?) फोन नंबर के उपयोगकर्ता द्वारा जो पेज से जुड़ा था। जवाब पिछले हफ्ते के अंत में आया, और स्थिति के सभी गतिरोध और पिछले छह महीनों के लिए VKontakte के साथ बातचीत करने में असमर्थता को ध्यान में रखते हुए, हम अदालत गए।
खुद को हैकिंग से कैसे बचाएं
हमलावर अन्य कमजोरियों के माध्यम से फोन नंबर प्रबंधन तक पहुंच प्राप्त कर सकते हैं - एसएस 7 प्रोटोकॉल या ऑपरेटर के बेईमान कर्मचारियों की मदद से एक सिम कार्ड का डुप्लिकेट प्राप्त करना।
SS7 एक तकनीकी प्रोटोकॉल है जिसका उपयोग वाहक करते हैं। इसमें एक पुरानी और, जाहिरा तौर पर, अप्राप्य
भेद्यता है , जो आपको कॉल या एसएमएस के दौरान ग्राहकों द्वारा प्रेषित डेटा को बाधित करने की अनुमति देती है। केवल ऑपरेटरों के पास एसएस 7 तक पहुंच है, लेकिन हमलावर कम विकसित राज्यों के ऑपरेटरों से या मोबाइल ऑपरेटरों के बेईमान कर्मचारियों के माध्यम से डार्कनेट एक्सेस खरीदकर इसे प्राप्त कर सकते हैं। हमला तब होता है जब कोई हमलावर ग्राहक के बिलिंग सिस्टम का पता उसके पते पर बदल देता है। सबसे अधिक बार, हमलावर सिस्टम को बताते हैं कि ग्राहक अंतरराष्ट्रीय रोमिंग में है, इसलिए अपने आप को बचाने के लिए सबसे आसान तरीका अंतरराष्ट्रीय रोमिंग की संभावना को अक्षम करना है यदि आप इसका उपयोग नहीं करते हैं।
यहां तक कि अलेक्सई मिरोनोव ने Vkontakte के लिए दो-कारक प्रमाणीकरण प्रणाली स्थापित नहीं की थी। ऐसा कार्य जून 2014 में वीके में
दिखाई दिया । शायद वह अपने अकाउंट को हैक होने से बचा सकती थी। यह याद रखने योग्य है कि किसी खाते को केवल फ़ोन नंबर से लिंक करना दो-कारक प्रमाणीकरण नहीं है।
दो-कारक प्रमाणीकरण आपके खाते में प्रवेश करने की सुरक्षा है, जब पासवर्ड के अलावा, वे एक और कार्रवाई करते हैं। सबसे आम विकल्प एक एसएमएस कोड है। यह विधि सबसे विश्वसनीय नहीं है, क्योंकि हमलावर एक एसएमएस संदेश को रोक सकते हैं। अधिक सुरक्षित विकल्प एक फ़ाइल कुंजी, समय कोड, एक मोबाइल एप्लिकेशन और एक हार्डवेयर टोकन हैं।
दुर्भाग्य से, हम उस युग में जीने के लिए मजबूर हैं जब डेटा सुरक्षा हमारी अपनी समस्या बन रही है। यह आशा की जाती है कि ऑपरेटर एक हैक की स्थिति में स्वतंत्र रूप से जिम्मेदार होंगे, जैसा कि आप देख सकते हैं, आवश्यक नहीं है। साथ ही साथ रोसकोम्नाडज़ोर के लिए उम्मीद करना, जो लंबे समय से अपने डेटा संरक्षण अभ्यास में वास्तविकता से तलाक ले चुका है। जिला पुलिस अधिकारी की "विफल सामग्री" के कवच के माध्यम से तोड़ना अविश्वसनीय रूप से कठिन है, जो आपके आवेदन को एक समान अवसर पर, विशेष रूप से एक साधारण व्यक्ति को जाने देगा, जो यह नहीं जानता कि यह प्रणाली कैसे काम करती है। क्या रहता है? डिजिटल स्वच्छता के बारे में मत भूलना, गणित पर भरोसा करें और अदालत में अपने अधिकारों की रक्षा करें।
