由于MTS客户识别系统中的漏洞,欺诈者偷走了商人Alexei Mironov的VKontakte页面。 社交网络尚未归还其所有者,因此要求不可能。 现在,他为此起诉VKontakte。 他的兴趣由数字权利中心代表。
Alexey Mironov是Jeffrey's Coffee网络的创始人。 这是莫斯科及该地区咖啡馆的特许经营权。 Alex经常与VKontakte的同事和合作伙伴进行交谈,并在其网站上带领了一个非常受欢迎的公众,人数超过50,000。
2018年11月一大早,Alex在中国出差时,他的VK页面被黑了。 他收到了来自VKontakte的短信,WhatsApp以及来自MTS运营商的消息,消息称他已转接到另一个号码。 阿列克谢(Alexey)没有设置呼叫转移,因此他立即担心并致电MTS。 他们甚至没有立即确定确实存在呼叫转移。 在Alexey接到电话后的两个小时,接线员才可以断开她的通话。 MTS找不到有关如何以及何时连接呼叫转移的数据。
阿列克谢检查了对社交网络和即时通讯程序的访问,发现他再也无法通过电话号码输入这些信息。 黑客将不同的号码绑定到他的帐户。 使用WhatsApp,该问题得以快速解决。 取消转发后,即时通讯程序立即将其所有者重新获得对该帐户的访问权限。
亚历克斯(Alex)为支持VKontakte撰写了请求,要求返回页面并发送了护照照片。 当天晚上,他收到一条短信,称该申请已被拒绝,因为当前所有者已经确认了访问权限。
一位技术支持专家表示,Alexey可以自愿将其页面的访问权转让给第三方,因此他们将无法恢复对该页面的访问权。 阿列克谢用黑客手段解释了这种情况,但要求他发送MTS的确认信,操作员将在其中确认黑客已经发生。 MTS Alexey提供了一封信。 此后,VKontakte政府要求这封信由警察证明。 由于签署人的字母和权力的证明不是警察的职能,因此很难满足这一要求。 Alexey只能通过亲自询问VKontakte的朋友来阻止被入侵的页面。 到目前为止,该页面尚未返回。 Alexey唯一实现的目标就是帐户锁定。 现在,骗子或他自己都不能使用它。
VKontakte支持服务是一个独立的故事。 VKontakte支持服务只能由授权用户联系。 这意味着,如果您失去了对页面的访问权限,则必须创建一个新页面或要求朋友授予对他们页面的访问权限才能提供支持。 亚历克斯(Alex)在妻子页面上与支持专家进行了通讯,尽管“用户协议”不允许将用户名和密码转让给他人,但这并没有打扰他们。
显然,黑客入侵页面并进一步失去对帐户和公众的访问权,既损害了Alexey的商业声誉,也损害了他的财产权益。 更不用说这样的事实,这使得大量的个人和商业信息被泄露给没人知道的地方。 这位商人帐户中的欺诈者要求他的朋友向他们转移大量资金。 一个人把它们转移了3.4万卢布。 攻击者可以在一天之内访问Alexey帐户的个人信息。
针对VKontakte的诉讼
阿列克谢·米罗诺夫(Alexey Mironov)向圣彼得堡Smolninsky地区法院对社交网络VKontakte提起诉讼,目前正在等待该案的任命。 他要求法院责令该社交网络履行以用户协议的形式订立的自己的合同,并向其返回对其页面的访问。 迄今为止,VKontakte政府继续无理剥夺Alexey的帐户访问权限,同时他忠实地遵守了用户协议的条款,并立即将黑客行为告知了社交网络的技术支持服务。 VKontakte引用用户协议中的条款,拒绝恢复对他的页面访问,该条款禁止用户将其页面的登录名和密码转让给第三方。 与Alexey交谈的VKontakte支持代理说,只有在访问运营商的办公室并出示护照时,才可以设置电话号码的转发。 实际上,事实并非如此,罗斯科姆纳佐(Roskomnadzor)在回应阿列克谢(Alexei)的上诉时证实了这一点。
该社交网络违反了《用户协议》,无理地限制了Alexey访问其网页的权限。 这是单方面拒绝履行违反《艺术》第1款的义务。 俄罗斯联邦民法典第30条。 VK剥夺了他使用该帐户的权限,也剥夺了Alexey的公共管理权,这对他来说是重要的无形资产。 (我们写了关于公开市场作为数字财产的一种新形式,以及与他们进行交易的特殊性)
MTS识别系统中的安全漏洞
根据欺诈者代表企业家进行的通信,很明显,他们知道他的商务和商务旅行。 他们致电MTS联络中心,能够代表Alexei进行身份识别并建立呼叫转移。 攻击者可以通过社会工程学获取他的护照数据。 阿列克谢·米罗诺夫(Alexey Mironov)是专营权的创立者,因此许多参与开设专营权营业场所的人都可以获得他的护照数据。 MTS进行了内部调查,但无法确定谁安装了呼叫转移以及攻击者如何截获SMS。 该公司不认罪,但同时向阿列克谢提供了一笔相当奇怪的赔偿-750卢布。
我们认为仅使用正确的个人数据来远程识别订户是一种非常可疑的做法,并向Roskomnadzor投诉,要求检查这种公司流程是否符合个人数据法规的要求。 结果,Roskomnadzor支持MTS,这表明在通过电话进行远程识别之后,在提供正确的个人数据的同时管理通信服务是很正常的,而建立防止此类未经授权的行为的其他方法,对于订户而不是公司来说是头疼的问题。 。 (阅读完整答案-
此处 )
入侵Alexey Mironov的帐户并不是第一个未经授权就访问MTS订户数据的情况。 2018年,两名攻击者在新西伯利亚
窃取了一个拥有50万订户的数据库,其中一个是该公司的一名员工。 他们试图以1卢布的价格出售一位用户的数据。
2016年,反对派激进分子乔治·阿尔伯罗夫(Georgy Alburov)和奥列格·科兹洛夫斯基(Oleg Kozlovsky)的电报帐户遭到
黑客入侵 。 他们的帐户与MTS号码相关联,并且在遭到黑客入侵之前不久,SMS服务已关闭并且呼叫转移已打开。 黑客入侵的情况也尚未确定。 2019年,奥列格·科兹洛夫斯基(Oleg Kozlovsky)对MTS提起诉讼,但法院驳回了诉讼。
保护各种Web服务和应用程序的帐户免受黑客攻击是用户本人的责任。 电信运营商和监管机构都恪守这一立场,根据这一立场,他们拒绝与自己的订户共同承担这些风险。
ILV在其答案中是这样描述的:
“ ...根据《 MTS条款》第2.11条,为与电信运营商进行身份识别的目的,订户有机会使用代码字-运营商指定的字符序列(字母,数字),该格式由运营商建立,用于在执行协议时识别订户。 订户有机会在合同订立时(在这种情况下,将其与所需的详细信息一起输入合同形式)以及在合同执行期间的任何时间设置代码字。 尽管如此,订户Mironov A.K. 直到有争议的服务连接时才建立代码字。 在这种情况下,只有订户通过建立一个代码字与电信运营商进行识别,才能减轻这种情况带来的不利后果的风险,但他没有利用这一机会。”帐户恢复。 无法完成任务
关于Roskomnadzor无所作为的投诉已经向检察官提出。 同时,警方对犯罪指控继续保持沉默。 没有人报告公司内部的调查结果。 MTS不认罪。 没人在乎。 同时,VKontakte继续拒绝帐户所有者重新获得该帐户的访问权,直到他根据这些事实和MTS的来信提出一项警察命令以确立刑事案件后,才能确认转发服务的可竞争性。 在一封具有足够冗长解释的信中,仍然要求Mironov还必须提供MTS的证书,他是唯一所有者(以及运营商在什么地方草拟了电话号码的共同所有权?)由链接到该页面的电话号码的用户使用。 答案是在上周末提出的,考虑到局势的僵局以及过去六个月无法与VKontakte进行谈判,我们求助于法院。
如何保护自己免受黑客攻击
攻击者还可以通过其他漏洞(SS7协议)来访问电话号码管理,或者在操作员的不诚实员工的帮助下获取SIM卡的副本。
SS7是运营商使用的技术协议。 它包含一个古老的,显然是不可恢复的
漏洞 ,它使您可以拦截在呼叫过程中或在SMS中由订户传输的数据。 只有运营商才能使用SS7,但攻击者可以通过从欠发达州的运营商或通过不道德的移动运营商购买暗网来获得它。 当攻击者将订户的计费系统的地址更改为他的地址时,就会发生攻击。 攻击者通常会告诉系统订户正在国际漫游中,因此保护自己的最简单方法是禁用不使用国际漫游的可能性。
甚至Alexei Mironov都没有为Vkontakte建立两因素身份验证系统。 这种功能于2014年6月
出现在VK中。 也许她可以保护他的帐户免遭黑客攻击。 值得记住的是,仅将帐户链接到电话号码并不是两步验证。
两因素身份验证是一种保护措施,当密码和密码执行其他操作时,它们就可以输入您的帐户。 最常见的选项是SMS代码。 此方法不是最可靠的方法,因为攻击者可以截获SMS消息。 更安全的选项是文件密钥,时间代码,移动应用程序和硬件令牌。
不幸的是,我们被迫生活在数据保护成为我们自己的问题的时代。 希望如您所见,如果发生黑客攻击,操作员将独立负责。 以及对Roskomnadzor的期盼,后者早已在数据保护实践中脱离了现实。 突破地区警务人员“失败的材料”的防护罩极其困难,他们会在类似情况下让您的应用程序崩溃,尤其是对于一个不知道该系统如何工作的简单人而言。 还剩下什么? 不要忘记数字卫生,相信数学并在法庭上保护您的权利。
