Os fraudadores roubaram a página da VKontakte do empresário Alexei Mironov devido à vulnerabilidade no sistema de identificação de clientes MTS. A rede social não retornou ao proprietário e exige isso impossível. Agora ele está processando o VKontakte por isso. Seus interesses são representados pelo Centro de Direitos Digitais.
Alexey Mironov é o fundador da rede Jeffrey's Coffee. Esta é uma franquia de cafés em Moscou e nas regiões. Alex costumava conversar com colegas e parceiros da VKontakte e liderou um público muito popular de sua rede no país, com mais de 50.000 assinantes.
Em novembro de 2018, no início da manhã, quando Alex estava em uma viagem de negócios na China, sua página VK foi invadida. Ele recebeu SMS do VKontakte, WhatsApp e uma mensagem do operador do MTS, informando que ele foi encaminhado para outro número. Alexey não configurou o encaminhamento de chamadas, então ficou imediatamente preocupado e ligou para a MTS. Eles nem imediatamente determinaram que realmente há um encaminhamento de chamadas. O operador poderia desconectá-la apenas duas horas após a ligação de Alexey. O MTS não encontrou dados sobre como e quando o encaminhamento de chamadas foi conectado.
Alexey verificou o acesso a redes sociais e mensageiros instantâneos e viu que não podia mais inseri-los pelo número de telefone. Os hackers vincularam um número diferente às suas contas. Com o WhatsApp, o problema foi resolvido rapidamente. Imediatamente após o cancelamento do encaminhamento, o mensageiro recuperou o acesso à conta ao seu legítimo proprietário.
Alex escreveu em apoio ao VKontakte com um pedido para retornar a página e enviou uma foto do passaporte. À noite, ele recebeu um SMS informando que o pedido foi rejeitado, pois o atual proprietário confirmou o direito de acesso.
Um especialista em suporte técnico disse que Alexey pode voluntariamente transferir o acesso à sua página para terceiros, para que eles não restaurem o acesso a ela. Alexey explicou a situação com o hackeamento, mas ele foi convidado a enviar uma carta de confirmação da MTS na qual o operador confirmaria que o hackeamento ocorreu. Uma carta do MTS Alexey forneceu. Depois disso, o governo VKontakte exigiu que a carta fosse certificada pela polícia. É muito difícil cumprir esse requisito, porque a certificação de cartas e poderes de um signatário não é função da polícia. Alexey poderia bloquear a página invadida apenas perguntando pessoalmente aos amigos da VKontakte. A página ainda não foi retornada. A única coisa que Alexey conseguiu foi o bloqueio de conta. Agora não pode ser usado por golpistas nem por ele mesmo.
O serviço de suporte do VKontakte é uma história separada. O serviço de suporte do VKontakte pode ser contatado apenas por usuários autorizados. Isso significa que, se você perdeu o acesso à sua página, deve criar uma nova ou pedir aos amigos para que acessem suas páginas para obter suporte. Alex se correspondia com especialistas em suporte da página de sua esposa, e isso não os incomodava, embora o Contrato do Usuário não permita transferir o nome de usuário e a senha para outra pessoa.
A invasão da página e a perda adicional de acesso à conta e ao público, obviamente, danificaram a reputação comercial de Alexey e seus interesses de propriedade. Sem mencionar o fato de que isso permitiu que uma quantidade significativa de informações pessoais e comerciais fosse vazada para ninguém saber onde. Os fraudadores da conta do empresário pediram aos amigos para transferir grandes quantias de dinheiro para eles. Uma pessoa os transferiu 34 mil rublos. Os atacantes tiveram acesso às informações pessoais da conta de Alexey por um dia.
O processo contra a VKontakte
Alexey Mironov entrou com uma ação contra a rede social VKontakte no Tribunal Distrital de Smolninsky de São Petersburgo e agora aguarda a indicação do caso. Ele pede ao tribunal que obriga a rede social a cumprir seu próprio contrato celebrado na forma de um Contrato de Usuário e a retornar o acesso à sua página. Até o momento, a administração do VKontakte continuou privando Alexey do acesso à conta de forma irracional, enquanto cumpria fielmente os termos do Contrato do Usuário e informava imediatamente o serviço de suporte técnico da rede social sobre o hacking. VKontakte se recusou a restaurar o acesso à página, referindo-se à cláusula do Contrato do Usuário, que proíbe que os usuários transfiram o login e a senha da página para terceiros. O agente de suporte da VKontakte, com quem Alexey falou, disse que a configuração do encaminhamento de um número de telefone só é possível quando se visita o escritório da operadora e apresenta um passaporte. De fato, não é assim, e isso foi confirmado por Roskomnadzor em resposta a um apelo de Alexei.
A rede social, violando o Contrato do usuário, limitou irracionalmente o acesso de Alexey ao uso de sua página. É uma recusa unilateral de cumprir obrigações que violem o parágrafo 1º do art. 30 do Código Civil da Federação Russa. Privando-o de acesso à conta, VK também privou Alexey dos direitos administrativos de seu público, que é um ativo intangível importante para ele. (Escrevemos sobre o mercado público como uma nova forma de propriedade digital e as peculiaridades de concluir transações com eles)
Furos de segurança no sistema de identificação do MTS
De acordo com a correspondência realizada pelos fraudadores em nome do empresário, fica claro que eles sabiam sobre sua viagem de negócios e negócios. Eles ligaram para o contact center da MTS, conseguiram identificar em nome de Alexei e estabelecer o encaminhamento de chamadas. Os atacantes poderiam obter os dados do passaporte por meio de engenharia social. Alexey Mironov é o fundador da franquia, tantas pessoas envolvidas na abertura de estabelecimentos de franquia poderiam ter seus dados de passaporte. O MTS conduziu uma investigação interna, mas não conseguiu estabelecer quem instalou o encaminhamento de chamadas e como o invasor interceptou o SMS. A empresa se declarou inocente, mas, ao mesmo tempo, ofereceu a Alexei uma compensação bastante estranha - 750 rublos.
Consideramos que identificar um assinante remotamente usando apenas dados pessoais corretos é uma prática muito duvidosa e escrevemos uma queixa a Roskomnadzor sobre a verificação de que esse tipo de processo da empresa atende aos requisitos da legislação de dados pessoais. Como resultado, Roskomnadzor ficou do lado do MTS, indicando que o gerenciamento de serviços de comunicação após identificação remota por telefone e o fornecimento de dados pessoais corretos é bastante normal, e o estabelecimento de outras formas de proteção contra ações não autorizadas é uma dor de cabeça para o assinante e não para a empresa. . (leia a resposta completa -
aqui )
Hackear a conta de Alexey Mironov não é o primeiro caso de acesso não autorizado aos dados dos assinantes do MTS. Em 2018, dois atacantes
roubaram um banco de dados de 500 mil assinantes em Novosibirsk, um dos quais era funcionário da empresa. Eles tentaram vender a base ao preço de 1 rublo pelos dados de um assinante.
Em 2016, as contas de telegrama dos ativistas da oposição Georgy Alburov e Oleg Kozlovsky foram
invadidas . Suas contas estavam vinculadas aos números do MTS e, pouco antes do hack, o serviço de SMS foi desativado e o encaminhamento de chamadas foi ativado. As circunstâncias dos hackers também não foram estabelecidas. Em 2019, Oleg Kozlovsky entrou com uma ação contra a MTS, mas o tribunal a rejeitou.
A proteção de contas de vários serviços e aplicativos da Web contra hackers é de responsabilidade do próprio usuário. As operadoras de telecomunicações e o regulador aderem a essa posição, segundo a qual se recusam a compartilhar esses riscos com seu próprio assinante.
O ILV em sua resposta descreve desta maneira:
“... De acordo com a cláusula 2.11 dos Termos do MTS, os assinantes com a finalidade de identificação com a operadora de telecomunicações têm a oportunidade de usar o Code Word - a sequência de caracteres (letras, números) especificada pelo Operador na forma estabelecida pelo Operador que serve para identificar o Assinante na execução do Contrato. O assinante tem a oportunidade de definir a palavra-código na conclusão do contrato (nesse caso, é inserida no formulário do contrato juntamente com os detalhes necessários) e a qualquer momento durante a execução do contrato. Apesar disso, o assinante Mironov A.K. a palavra de código não foi estabelecida até a conexão contestada do serviço. Em tais circunstâncias, somente o assinante, ao estabelecer uma palavra-código para identificação com o operador de telecomunicações, poderia mitigar o risco de conseqüências adversas de tais situações, mas ele não aproveitaria essa oportunidade. ”Recuperação de conta. Missão impossível
Uma queixa sobre a inação de Roskomnadzor já foi apresentada ao promotor. Enquanto isso, a polícia continua calada sobre a alegação do crime. Ninguém relata nada sobre os resultados da investigação dentro da empresa. O MTS não admite nenhuma culpa. Ninguém se importa. Ao mesmo tempo, VKontakte continua a recusar o titular da conta a recuperar o acesso até que ele traga a Resolução de Processo Penal estabelecendo os fatos especificados e uma carta do MTS, na qual haverá confirmação da disputa do serviço de encaminhamento. Em uma carta com explicações suficientemente longas, ainda há a exigência de que Mironov também forneça um certificado do MTS, de que ele é o único proprietário (e que, em algum lugar, os operadores estabelecem a propriedade conjunta de números de telefone?) Pelo usuário do número de telefone vinculado à página. A resposta veio no final da semana passada e, levando em consideração todo o impasse da situação e a incapacidade de negociar com a VKontakte nos últimos seis meses, nos voltamos para o tribunal.
Como se proteger de hackers
Os invasores também podem obter acesso ao gerenciamento de números de telefone por outras vulnerabilidades - o protocolo SS7 ou obter uma duplicata de um cartão SIM com a ajuda de funcionários desonestos da operadora.
SS7 é um protocolo técnico que as operadoras usam. Ele contém uma
vulnerabilidade antiga e, aparentemente, irrecuperável, que permite interceptar dados transmitidos pelos assinantes durante uma chamada ou no SMS. Somente as operadoras têm acesso ao SS7, mas os invasores podem obtê-lo adquirindo acesso à darknet de operadoras de estados menos desenvolvidos ou através de funcionários inescrupulosos das operadoras móveis. O ataque ocorre quando um invasor altera o endereço do sistema de cobrança do assinante para seu endereço. Na maioria das vezes, os invasores dizem ao sistema que o assinante está em roaming internacional; portanto, a maneira mais fácil de se proteger é desabilitar a possibilidade de roaming internacional se você não o usar.
Até Alexei Mironov não havia estabelecido um sistema de autenticação de dois fatores para o Vkontakte. Essa função
apareceu na VK em junho de 2014. Talvez ela pudesse proteger a conta dele de hackers. Vale lembrar que simplesmente vincular uma conta a um número de telefone não é uma autenticação de dois fatores.
A autenticação de dois fatores é a proteção de entrar na sua conta quando, além da senha, eles executam outra ação. A opção mais comum é um código SMS. Esse método não é o mais confiável, pois os invasores podem interceptar uma mensagem SMS. Opções mais seguras são uma chave de arquivo, códigos de hora, um aplicativo móvel e um token de hardware.
Infelizmente, somos forçados a viver em uma época em que a proteção de dados está se tornando nosso próprio problema. Espera-se que os operadores sejam independentemente responsáveis no caso de um hack, como você pode ver, não é necessário. Além de esperar por Roskomnadzor, que há muito se divorcia da realidade em sua prática de proteção de dados. É incrivelmente difícil romper a armadura do "material com falha" do policial distrital que desistirá de seu pedido em uma ocasião semelhante, especialmente para uma pessoa simples que não sabe como esse sistema funciona. O que resta? Não se esqueça da higiene digital, confie na matemática e proteja seus direitos no tribunal.
