Penipu mencuri halaman VKontakte dari pengusaha Alexei Mironov karena kerentanan dalam sistem identifikasi pelanggan MTS. Jejaring sosial belum kembali ke pemiliknya dan mengharuskannya mustahil. Sekarang dia menuntut VKontakte untuk itu. Minatnya diwakili oleh Pusat Hak Digital.
Alexey Mironov adalah pendiri jaringan kopi Jeffrey. Ini adalah waralaba kedai kopi di Moskow dan daerah. Alex sering berbicara dengan kolega dan mitra VKontakte dan memimpin publik yang sangat populer di jaringannya di sana, dengan jumlah lebih dari 50.000 pelanggan.
Pada November 2018, dini hari, ketika Alex sedang dalam perjalanan bisnis di Cina, halaman VK-nya diretas. Ia menerima SMS dari VKontakte, WhatsApp, dan pesan dari operator MTS, yang mengatakan bahwa ia diteruskan ke nomor lain. Alexey tidak mengatur penerusan panggilan, jadi dia langsung khawatir dan menelepon MTS. Mereka bahkan tidak segera menentukan bahwa benar-benar ada penerusan panggilan. Operator dapat memutuskan sambungannya hanya dua jam setelah panggilan Alexey. MTS tidak menemukan data tentang bagaimana dan kapan penerusan panggilan terhubung.
Alexey memeriksa akses ke jejaring sosial dan kurir instan dan melihat bahwa dia tidak bisa lagi memasukkannya dengan nomor telepon. Peretas mengikat nomor yang berbeda ke akunnya. Dengan WhatsApp, masalah ini diselesaikan dengan cepat. Segera setelah pembatalan penerusan, kurir mendapatkan kembali akses ke akun kepada pemiliknya yang sah.
Alex menulis untuk mendukung VKontakte dengan permintaan untuk mengembalikan halaman dan mengirim foto paspor. Pada malam hari ia menerima SMS bahwa aplikasi ditolak, karena pemilik saat ini telah mengkonfirmasi hak akses.
Seorang spesialis dukungan teknis mengatakan bahwa Alexey dapat secara sukarela mentransfer akses ke halamannya kepada pihak ketiga, sehingga mereka tidak akan mengembalikan akses ke sana. Alexey menjelaskan situasinya dengan peretasan, tetapi ia diminta untuk mengirim surat konfirmasi dari MTS di mana operator akan mengkonfirmasi bahwa peretasan telah terjadi. Surat dari MTS Alexey disediakan. Setelah itu, administrasi VKontakte menuntut agar surat itu disertifikasi oleh polisi. Persyaratan seperti itu sangat sulit dipenuhi, karena sertifikasi surat dan kuasa penandatangan bukan merupakan fungsi kepolisian. Alexey dapat memblokir halaman yang diretas hanya dengan secara pribadi bertanya kepada teman-teman VKontakte tentang hal itu. Halaman ini belum dikembalikan sejauh ini. Satu-satunya hal yang dicapai Alexey adalah penguncian akun. Sekarang tidak dapat digunakan oleh scammers atau oleh dirinya sendiri.
Layanan dukungan VKontakte adalah cerita yang terpisah. Layanan dukungan VKontakte hanya dapat dihubungi oleh pengguna yang berwenang. Ini berarti bahwa jika Anda kehilangan akses ke halaman Anda, Anda harus membuat yang baru atau meminta teman untuk memberikan akses ke halaman mereka untuk menulis dukungan. Alex berkorespondensi dengan spesialis dukungan dari halaman istrinya, dan ini tidak mengganggu mereka, meskipun Perjanjian Pengguna tidak mengizinkan transfer nama pengguna dan kata sandi kepada orang lain.
Meretas halaman dan kehilangan akses lebih lanjut ke akun dan publik, jelas, merusak reputasi bisnis Alexey dan kepentingan propertinya. Belum lagi fakta bahwa ini memungkinkan sejumlah besar informasi pribadi dan komersial bocor ke tidak ada yang tahu di mana. Penipu dari akun pengusaha meminta teman-temannya untuk mentransfer sejumlah besar uang kepada mereka. Satu orang mentransfer 34 ribu rubel. Para penyerang memiliki akses ke informasi pribadi akun Alexey selama sehari.
Gugatan terhadap VKontakte
Alexey Mironov mengajukan gugatan terhadap jejaring sosial VKontakte di Pengadilan Distrik Smolninsky St. Petersburg dan sekarang sedang menunggu penunjukan kasus tersebut. Dia meminta pengadilan untuk mewajibkan jejaring sosial untuk memenuhi kontraknya sendiri yang disimpulkan dalam bentuk Perjanjian Pengguna dan untuk mengembalikan akses ke halamannya. Administrasi VKontakte sejauh ini terus menghilangkan akses Alexey ke akun secara tidak masuk akal, sementara ia dengan setia mematuhi ketentuan Perjanjian Pengguna dan segera memberi tahu layanan dukungan teknis dari jejaring sosial tentang peretasan. VKontakte menolak untuk mengembalikan akses ke halaman kepadanya, merujuk pada klausul Perjanjian Pengguna, yang melarang pengguna mentransfer login dan kata sandi halaman mereka kepada pihak ketiga. Agen pendukung VKontakte, yang berbicara dengan Alexey, mengatakan bahwa pengaturan penerusan nomor telepon hanya mungkin ketika mengunjungi kantor operator dan menunjukkan paspor. Faktanya, ini tidak benar, dan ini dikonfirmasi oleh Roskomnadzor sebagai tanggapan atas banding dari Alexei.
Jaringan sosial, yang melanggar Perjanjian Pengguna, secara tidak masuk akal membatasi akses Alexey untuk penggunaan halamannya. Ini adalah penolakan sepihak untuk memenuhi kewajiban yang melanggar ayat 1 Seni. 30 dari Kode Sipil Federasi Rusia. Karena merampas aksesnya ke akun, VK juga merampas hak administrasi publik Alexey, yang merupakan aset tak berwujud yang penting baginya. (Kami menulis tentang pasar publik sebagai bentuk baru dari properti digital dan kekhasan transaksi dengan mereka)
Lubang Keamanan dalam Sistem Identifikasi MTS
Menurut korespondensi yang dilakukan oleh penipu atas nama pengusaha, jelas bahwa mereka tahu tentang perjalanan bisnis dan bisnisnya. Mereka memanggil pusat kontak MTS, mampu mengidentifikasi atas nama Alexei dan mengatur penerusan panggilan. Penyerang bisa mendapatkan data paspornya melalui rekayasa sosial. Alexey Mironov adalah pendiri waralaba, sehingga banyak orang yang terlibat dalam pembukaan perusahaan waralaba dapat memiliki data paspornya. MTS melakukan penyelidikan internal, tetapi tidak dapat menentukan siapa yang memasang penerusan panggilan dan bagaimana penyerang mencegat SMS. Perusahaan itu mengaku tidak bersalah, tetapi pada saat yang sama menawarkan Alexei kompensasi yang agak aneh - 750 rubel.
Kami menganggap bahwa mengidentifikasi pelanggan dari jarak jauh hanya menggunakan data pribadi yang benar adalah praktik yang sangat meragukan dan menulis keluhan kepada Roskomnadzor tentang memverifikasi bahwa proses perusahaan semacam ini memenuhi persyaratan undang-undang data pribadi. Akibatnya, Roskomnadzor memihak MTS, menunjukkan bahwa mengelola layanan komunikasi setelah identifikasi jarak jauh melalui telepon sambil memberikan data pribadi yang benar adalah sangat normal, dan pembentukan cara-cara tambahan untuk melindungi terhadap tindakan tidak sah semacam itu adalah sakit kepala bagi pelanggan dan bukan perusahaan. . (baca jawaban lengkap - di
sini )
Meretas akun Alexey Mironov bukanlah kasus pertama dari akses tidak sah ke data pelanggan MTS. Pada 2018, dua penyerang
mencuri database 500 ribu pelanggan di Novosibirsk, salah satunya adalah karyawan perusahaan. Mereka mencoba menjual pangkalan dengan harga 1 rubel untuk data satu pelanggan.
Pada 2016, akun telegram aktivis oposisi Georgy Alburov dan Oleg Kozlovsky
diretas . Akun mereka diikat ke nomor MTS, dan tak lama sebelum peretasan, layanan SMS dimatikan dan penerusan panggilan dihidupkan. Keadaan peretasan juga belum ditetapkan. Pada 2019, Oleg Kozlovsky mengajukan gugatan terhadap MTS, tetapi pengadilan menolaknya.
Melindungi akun berbagai layanan web dan aplikasi dari peretasan adalah tanggung jawab pengguna sendiri. Baik operator telekomunikasi dan regulator mematuhi posisi ini, yang menurutnya mereka menolak untuk membagi risiko ini dengan pelanggan mereka sendiri.
ILV dalam jawabannya menjelaskan seperti ini:
"... Menurut klausa 2.11 dari Ketentuan MTS, pelanggan untuk tujuan identifikasi dengan operator telekomunikasi diberikan kesempatan untuk menggunakan Kode Kata - urutan karakter (huruf, angka) yang ditentukan oleh Operator dalam bentuk yang ditetapkan oleh Operator yang berfungsi untuk mengidentifikasi Pelanggan dalam pelaksanaan Perjanjian. Pelanggan memiliki kesempatan untuk menetapkan kata kode baik pada akhir kontrak (dalam hal ini, dimasukkan dalam bentuk kontrak bersama dengan rincian yang diperlukan) dan kapan saja selama pelaksanaan kontrak. Meskipun demikian, pelanggan Mironov A.K. kata kode tidak dibuat sampai koneksi layanan diperebutkan. Dalam keadaan seperti itu, hanya pelanggan, dengan membuat kata sandi untuk identifikasi dengan operator telekomunikasi, dapat mengurangi risiko konsekuensi yang merugikan dari situasi seperti itu, tetapi ia tidak menggunakan kesempatan ini. "Pemulihan akun. Misi mustahil
Keluhan tentang kelambanan Roskomnadzor telah diajukan ke jaksa penuntut. Sementara itu, polisi terus diam atas tuduhan kejahatan. Tidak ada yang melaporkan apa pun tentang hasil penyelidikan di dalam perusahaan. MTS tidak mengakui kesalahan apa pun. Tidak ada yang peduli. Pada saat yang sama, VKontakte terus menolak pemilik akun untuk mendapatkan kembali akses ke sana sampai ia membawa perintah polisi untuk membentuk kasus pidana dengan menetapkan fakta-fakta ini dan surat dari MTS, di mana akan ada konfirmasi tentang keberlangsungan layanan penerusan. Dalam surat dengan penjelasan yang cukup panjang, masih ada persyaratan bahwa Mironov juga harus memberikan sertifikat dari MTS, bahwa ia adalah pemilik tunggal (dan apa, di suatu tempat, operator menyusun kepemilikan bersama nomor telepon?) Oleh pengguna nomor telepon yang ditautkan ke halaman. Jawabannya datang pada akhir minggu lalu, dan dengan mempertimbangkan semua kebuntuan situasi dan ketidakmampuan untuk bernegosiasi dengan VKontakte selama enam bulan terakhir, kami berpaling ke pengadilan.
Bagaimana melindungi diri Anda dari peretasan
Penyerang juga dapat memperoleh akses ke manajemen nomor telepon melalui kerentanan lain - protokol SS7 atau mendapatkan duplikat kartu SIM dengan bantuan karyawan yang tidak jujur ββdari operator.
SS7 adalah protokol teknis yang digunakan operator. Ini berisi
kerentanan lama dan, tampaknya, tidak dapat dipulihkan, yang memungkinkan Anda untuk mencegat data yang dikirimkan oleh pelanggan selama panggilan atau melalui SMS. Hanya operator yang memiliki akses ke SS7, tetapi penyerang dapat memperolehnya dengan membeli akses darknet dari operator di negara-negara kurang berkembang atau melalui karyawan operator seluler yang tidak bertanggung jawab. Serangan terjadi ketika penyerang mengubah alamat sistem penagihan pelanggan ke alamatnya. Paling sering, penyerang memberi tahu sistem bahwa pelanggan berada dalam jelajah internasional, jadi cara termudah untuk melindungi diri Anda adalah dengan menonaktifkan kemungkinan jelajah internasional jika Anda tidak menggunakannya.
Bahkan Alexei Mironov belum membuat sistem otentikasi dua faktor untuk Vkontakte. Fungsi seperti itu
muncul di VK pada Juni 2014. Mungkin dia bisa melindungi akunnya dari peretasan. Perlu diingat bahwa hanya menautkan akun ke nomor telepon bukanlah otentikasi dua faktor.
Otentikasi dua faktor adalah perlindungan memasuki akun Anda ketika, di samping kata sandi, mereka melakukan tindakan lain. Opsi yang paling umum adalah kode SMS. Metode ini bukan yang paling dapat diandalkan, karena penyerang dapat mencegat pesan SMS. Opsi yang lebih aman adalah kunci file, kode waktu, aplikasi seluler, dan token perangkat keras.
Sayangnya, kita terpaksa hidup di era ketika perlindungan data menjadi masalah kita sendiri. Diharapkan bahwa operator akan bertanggung jawab secara independen jika terjadi peretasan, seperti yang Anda lihat, tidak perlu. Serta berharap untuk Roskomnadzor, yang telah lama bercerai dari kenyataan dalam praktik perlindungan datanya. Sangat sulit untuk menembus pelindung dari "bahan yang gagal" dari petugas polisi distrik yang akan mengecewakan aplikasi Anda pada kesempatan yang sama, terutama bagi orang sederhana yang tidak tahu cara kerja sistem ini. Apa yang tersisa? Jangan lupa tentang kebersihan digital, percaya matematika dan lindungi hak Anda di pengadilan.
