Хабрахабр

Битва за аккаунт. Основатель сети Jeffrey’s Coffee подаёт в суд на ВКонтакте

Мошенники украли страницу ВКонтакте предпринимателя Алексея Миронова из-за уязвимости в системе идентификации клиентов МТС. Социальная сеть так и не вернула её владельцу и требует от него неисполнимого. Сейчас он подаёт за это на ВКонтакте в суд. Его интересы представляет Центр цифровых прав.
Алексей Миронов — основатель сети Jeffrey’s Coffee. Это франшиза кофеен в Москве и регионах. Алексей часто общался с коллегами и партнёрами ВКонтакте и вел там весьма популярный паблик своей сети, насчитывающий более 50 000 подписчиков.

Ему пришли SMS от ВКонтакте, WhatsApp и сообщение от оператора МТС, в котором говорилось, что настроена переадресация на другой номер. В ноябре 2018 года, рано утром, когда Алексей находился в командировке в Китае, его страницу ВКонтакте взломали. Там даже не сразу определили, что переадресация действительно есть. Алексей переадресацию не настраивал, поэтому сразу забеспокоился и позвонил в МТС. В МТС так и не нашли данные о том, как и когда была подключена переадресация. Отключить её оператор смог только через два часа после звонка Алексея.

Взломщики привязали к его аккаунтам другой номер. Алексей проверил доступ к соцсетям и мессенджерам и увидел, что войти в них по номеру телефона уже не может. Сразу после отмены переадресации мессенджер восстановил доступ к аккаунту законному владельцу. С WhatsApp вопрос решился быстро.

Вечером ему пришло SMS, что заявка отклонена, так как текущий владелец подтвердил право доступа. Алексей написал в поддержку ВКонтакте с просьбой вернуть страницу и отправил фото паспорта.

Специалист службы техподдержки заявил, что Алексей добровольно мог передать доступ к своей странице третьим лицам, поэтому восстанавливать ему доступ не будут. Алексей объяснил ситуацию со взломом, но у него попросили в подтверждение прислать письмо из МТС, в котором оператор подтверждал бы, что произошёл взлом. Письмо от МТС Алексей предоставил. После этого администрация ВКонтакте потребовала заверить это письмо в полиции. Такое требование очень сложно выполнить, потому что заверение писем и полномочий подписанта — это не функция полиции. Заблокировать взломанную страницу Алексей смог, только лично попросив об этом знакомых сотрудников ВКонтакте. Страницу не вернули до сих пор. Единственное, чего добился Алексей, — блокировка аккаунта. Теперь им не могут пользоваться ни мошенники, ни он сам.

Со службой поддержки ВКонтакте могут связаться только авторизованные пользователи. Служба поддержки ВКонтакте — это отдельная история. Алексей переписывался со специалистами службы поддержки со страницы жены, и это не смутило их, хотя Пользовательское соглашение не разрешает передавать логин и пароль кому-то ещё. Это значит, что если вы потеряли доступ к своей странице, вы должны создать новую или просить друзей дать доступ к их страницам, чтобы написать в поддержку.

Не говоря о том, что это позволило утечь значительному массиву личной и коммерческой информации непонятно куда. Взлом страницы и дальнейшая потеря доступа к аккаунту и паблику, очевидно, нанесли ущерб как деловой репутации Алексея, так и его имущественным интересам. Один человек перевёл им 34 тысячи рублей. Мошенники с аккаунта бизнесмена просили у его знакомых перевести им крупные суммы денег. Злоумышленники сутки имели доступ к личной информации аккаунта Алексея.

Иск против ВКонтакте

Алексей Миронов подал иск к социальной сети ВКонтакте В Смольнинский районный суд Петербурга и теперь ожидает назначения дела. Он просит суд обязать социальную сеть исполнить собственный договор, заключенный в форме Пользовательского соглашения и вернуть ему доступ к своей странице. Администрация ВКонтакте до настоящего времени продолжает лишать Алексея доступа к аккаунту необоснованно, тогда как он добросовестно выполнял условия Пользовательского соглашения и сразу сообщил службе технической поддержки соцсети о взломе. ВКонтакте отказалась восстанавливать ему доступ к странице, ссылаясь на пункт Пользовательского соглашения, который запрещает пользователям передавать логин и пароль их страницы третьим лицам. Агент поддержки ВКонтакте, с которым общался Алексей, заявил, что настроить переадресацию телефонного номера можно только при посещении офиса оператора и предъявлении паспорта. На деле это не так, и это подтвердил Роскомнадзор в ответ на обращение Алексея.

Это односторонний отказ от исполнения обязательств, нарушающий п. Социальная сеть, в нарушение Пользовательского соглашения, необоснованно ограничила доступ Алексея к использованию его страницы. 30 ГК РФ. 1 ст. (О рынке пабликов как новой формы цифрового имущества и особенностях заключения сделок с ними мы писали ранее) Лишая его доступа к аккаунту, ВК также лишила Алексея и прав администрирования принадлежащего ему паблика, являющегося для него важным нематериальным активом.

Дыры безопасности в системе идентификации МТС

По переписке, которую вели мошенники от лица предпринимателя, видно, что они знали о его бизнесе и командировке. Они позвонили в контактный центр МТС, смогли идентифицироваться от имени Алексея и настроили переадресацию. Злоумышленники могли получить его паспортные данные через социальный инжиниринг. Алексей Миронов — основатель франшизы, поэтому его паспортные данные могли быть у многих людей, занимающихся открытием заведений франшизы. МТС провела внутреннее расследование, но не смогла установить, кто именно установил переадресацию и как злоумышленник перехватил СМС. Компания не признала вину, но при этом предложила Алексею весьма странную компенсацию — 750 рублей.

В результате Роскомнадзор встал на сторону МТС, указав, что управлять услугами связи после удаленной идентификации по телефону при предоставлении корректных персональных данных — это вполне нормальное явление, а установление дополнительных способов защиты от подобного рода неавторизованных действий — это головная боль самого абонента, а не компании. Мы посчитали, что идентификация абонента удаленно лишь по корректным персональным данным является весьма сомнительной практикой и написали жалобу в Роскомнадзор о проверке соответствия подобного рода процесса компании требованиям законодательства о персональных данных. (читать полный ответ — здесь)

В 2018 году базу данных 500 тысяч абонентов украли в Новосибирске двое злоумышленников, один из которых был сотрудником компании. Взлом аккаунта Алексея Миронова — не первый случай несанкционированного доступа к данным абонентов МТС. Они пытались продать базу по цене 1 рубль за данные одного абонента.

Их аккаунты были привязаны к номерам МТС, и незадолго до взлома на них была отключена услуга SMS и включена переадресация. В 2016 году были взломаны телеграм-аккаунты оппозиционных активистов Георгия Албурова и Олега Козловского. В 2019 году Олег Козловский подал иск против МТС, но суд его отклонил. Обстоятельства взлома также не были установлены.

Такой позиции придерживаются и операторы связи, и сам регулятор, согласно которой они и отказываются разделять эти риски с собственным абонентом. Защита аккаунтов различных веб-сервисов и приложений от взлома относится к ответственности самого пользователя.

2. РКН в своем ответе описывает это так:
“… Согласно п. Абонент имеет возможность установить кодовое слово как при заключении договора (в этом случае оно вносится в бланк договора наряду с обязательными реквизитами), так и в любой момент исполнения договора. 11 Условий МТС абонентам для целей идентификации у оператора связи предоставляется возможность использования Кодового слова — указываемой Абонентом в установленной Оператором форме последовательности символов (букв, цифр), служащей для идентификации Абонента при исполнении Договора. кодовое слово до момента оспариваемого подключения услуги, не устанавливалось. Несмотря на это, абонентом Мироновым А.К. При таких обстоятельствах только абонент посредством установления кодового слова при идентификации у оператора связи мог нивелировать риск неблагоприятных последствий от подобного рода ситуаций, однако данной возможностью не воспользовался”.

Восстановление аккаунта. Mission impossible

Жалоба на бездействие Роскомнадзора в прокуратуру уже подана. Тем временем, полиция продолжает молчать по заявлению о преступлении. О результатах расследования внутри компании также никто ничего не сообщает. МТС никакой вины не признает. Никому нет никакого дела. При этом, ВКонтакте продолжает отказывать владельцу аккаунта в восстановлении доступа к нему, пока он не принесет из полиции Постановление о возбуждении уголовного дела с установлением указанных фактов и письмо от МТС, в котором будет подтверждение оспоримости услуги по переадресации. В письме с достаточно пространными пояснениями есть еще требование, что Миронов также должен предоставить справку от МТС, что он является единоличным (а что, где-то операторы оформляют совместную собственность на номера телефонов?) пользователем номера телефона, который был привязан к странице. Ответ поступил в конце прошлой недели, и учитывая всю тупиковость ситуации и невозможность договориться с ВКонтакте на протяжении уже полугода, мы и обратились в суд.

Как обезопасить себя от взлома

Получить доступ к управлению телефонным номером злоумышленники могут и через другие уязвимости — протокол SS7 или получение дубликата сим-карты с помощью недобросовестных сотрудников оператора.

Он содержит старую и, судя по всему, неустраняемую уязвимость, которая позволяет перехватывать данные, передаваемые абонентами во время звонка или в SMS. SS7 – это технический протокол, который используют операторы связи. Атака происходит, когда взломщик меняет адрес биллинговой системы абонента на адрес своей. Доступ к SS7 есть только у операторов, но злоумышленники могут получить его, купив доступ в даркнете у операторов малоразвитых государств или через недобросовестных сотрудников мобильных операторов. Чаще всего злоумышленники этим сообщают системе, что абонент в международном роуминге, поэтому самый простой способ обезопасить себя — отключить возможность международного роуминга, если вы им не пользуетесь.

Такая функция появилась в ВК в июне 2014 года. Еще у Алексея Миронова не была настроена система двухфакторной аутентификации для Вконтакте. Стоит помнить, что простая привязка аккаунта к номеру телефона — это не двухфакторная аутентификация. Возможно, она смогла бы защитить его аккаунт от взлома. Самый распространённый вариант — SMS-код. Двухфакторная аутентификация — это защита входа в аккаунт, когда в дополнение к паролю совершают ещё одно действие. Более безопасные варианты — файл-ключ, временные коды, мобильное приложение и аппаратный токен. Этот способ и самый ненадёжный, так как злоумышленники могут перехватить SMS-сообщение.

Надеятся на то, что операторы будут самостоятельно нести ответственность в случае взлома, как видно, не приходится. К сожалению, мы вынуждены жить в эпоху, когда обеспечение защиты данных становится нашей собственной проблемой. Пробить броню «отказного материала» участкового, которому спустят ваше заявление по аналогичному случаю — невероятно сложно, особенно простому человеку, не знающему как работает это система. Также как и надеятся на Роскомнадзор, который уже давно оторвался от реальности в своей практике по защите данных. Не забывать про цифровую гигиену, доверять математике и защищать свои права в суде. Что же остается?

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть