Мошенники украли страницу ВКонтакте предпринимателя Алексея Миронова из-за уязвимости в системе идентификации клиентов МТС. Социальная сеть так и не вернула её владельцу и требует от него неисполнимого. Сейчас он подаёт за это на ВКонтакте в суд. Его интересы представляет Центр цифровых прав.
Алексей Миронов — основатель сети Jeffrey’s Coffee. Это франшиза кофеен в Москве и регионах. Алексей часто общался с коллегами и партнёрами ВКонтакте и вел там весьма популярный паблик своей сети, насчитывающий более 50 000 подписчиков.
В ноябре 2018 года, рано утром, когда Алексей находился в командировке в Китае, его страницу ВКонтакте взломали. Ему пришли SMS от ВКонтакте, WhatsApp и сообщение от оператора МТС, в котором говорилось, что настроена переадресация на другой номер. Алексей переадресацию не настраивал, поэтому сразу забеспокоился и позвонил в МТС. Там даже не сразу определили, что переадресация действительно есть. Отключить её оператор смог только через два часа после звонка Алексея. В МТС так и не нашли данные о том, как и когда была подключена переадресация.
Алексей проверил доступ к соцсетям и мессенджерам и увидел, что войти в них по номеру телефона уже не может. Взломщики привязали к его аккаунтам другой номер. С WhatsApp вопрос решился быстро. Сразу после отмены переадресации мессенджер восстановил доступ к аккаунту законному владельцу.
Алексей написал в поддержку ВКонтакте с просьбой вернуть страницу и отправил фото паспорта. Вечером ему пришло SMS, что заявка отклонена, так как текущий владелец подтвердил право доступа.
Специалист службы техподдержки заявил, что Алексей добровольно мог передать доступ к своей странице третьим лицам, поэтому восстанавливать ему доступ не будут. Алексей объяснил ситуацию со взломом, но у него попросили в подтверждение прислать письмо из МТС, в котором оператор подтверждал бы, что произошёл взлом. Письмо от МТС Алексей предоставил. После этого администрация ВКонтакте потребовала заверить это письмо в полиции. Такое требование очень сложно выполнить, потому что заверение писем и полномочий подписанта — это не функция полиции. Заблокировать взломанную страницу Алексей смог, только лично попросив об этом знакомых сотрудников ВКонтакте. Страницу не вернули до сих пор. Единственное, чего добился Алексей, — блокировка аккаунта. Теперь им не могут пользоваться ни мошенники, ни он сам.
Служба поддержки ВКонтакте — это отдельная история. Со службой поддержки ВКонтакте могут связаться только авторизованные пользователи. Это значит, что если вы потеряли доступ к своей странице, вы должны создать новую или просить друзей дать доступ к их страницам, чтобы написать в поддержку. Алексей переписывался со специалистами службы поддержки со страницы жены, и это не смутило их, хотя Пользовательское соглашение не разрешает передавать логин и пароль кому-то ещё.
Взлом страницы и дальнейшая потеря доступа к аккаунту и паблику, очевидно, нанесли ущерб как деловой репутации Алексея, так и его имущественным интересам. Не говоря о том, что это позволило утечь значительному массиву личной и коммерческой информации непонятно куда. Мошенники с аккаунта бизнесмена просили у его знакомых перевести им крупные суммы денег. Один человек перевёл им 34 тысячи рублей. Злоумышленники сутки имели доступ к личной информации аккаунта Алексея.
Алексей Миронов подал иск к социальной сети ВКонтакте в Смольнинский районный суд города Санкт-Петербурга и теперь ожидает назначения дела. Он просит суд обязать социальную сеть исполнить собственный договор, заключенный в форме Пользовательского соглашения и вернуть ему доступ к своей странице. Администрация ВКонтакте до настоящего времени продолжает лишать Алексея доступа к аккаунту необоснованно, тогда как он добросовестно выполнял условия Пользовательского соглашения и сразу сообщил службе технической поддержки соцсети о взломе. ВКонтакте отказалась восстанавливать ему доступ к странице, ссылаясь на пункт Пользовательского соглашения, который запрещает пользователям передавать логин и пароль их страницы третьим лицам. Агент поддержки ВКонтакте, с которым общался Алексей, заявил, что настроить переадресацию телефонного номера можно только при посещении офиса оператора и предъявлении паспорта. На деле это не так, и это подтвердил Роскомнадзор в ответ на обращение Алексея.
Социальная сеть, в нарушение Пользовательского соглашения, необоснованно ограничила доступ Алексея к использованию его страницы. Это односторонний отказ от исполнения обязательств, нарушающий п. 1 ст. 30 ГК РФ. Лишая его доступа к аккаунту, ВК также лишила Алексея и прав администрирования принадлежащего ему паблика, являющегося для него важным нематериальным активом. (О рынке пабликов как новой формы цифрового имущества и особенностях заключения сделок с ними мы писали ранее)
По переписке, которую вели мошенники от лица предпринимателя, видно, что они знали о его бизнесе и командировке. Они позвонили в контактный центр МТС, смогли идентифицироваться от имени Алексея и настроили переадресацию. Злоумышленники могли получить его паспортные данные через социальный инжиниринг. Алексей Миронов — основатель франшизы, поэтому его паспортные данные могли быть у многих людей, занимающихся открытием заведений франшизы. МТС провела внутреннее расследование, но не смогла установить, кто именно установил переадресацию и как злоумышленник перехватил СМС. Компания не признала вину, но при этом предложила Алексею весьма странную компенсацию — 750 рублей.
Мы посчитали, что идентификация абонента удаленно лишь по корректным персональным данным является весьма сомнительной практикой и написали жалобу в Роскомнадзор о проверке соответствия подобного рода процесса компании требованиям законодательства о персональных данных. В результате Роскомнадзор встал на сторону МТС, указав, что управлять услугами связи после удаленной идентификации по телефону при предоставлении корректных персональных данных — это вполне нормальное явление, а установление дополнительных способов защиты от подобного рода неавторизованных действий — это головная боль самого абонента, а не компании. (читать полный ответ — здесь)
Взлом аккаунта Алексея Миронова — не первый случай несанкционированного доступа к данным абонентов МТС. В 2018 году базу данных 500 тысяч абонентов украли в Новосибирске двое злоумышленников, один из которых был сотрудником компании. Они пытались продать базу по цене 1 рубль за данные одного абонента.
В 2016 году были взломаны телеграм-аккаунты оппозиционных активистов Георгия Албурова и Олега Козловского. Их аккаунты были привязаны к номерам МТС, и незадолго до взлома на них была отключена услуга SMS и включена переадресация. Обстоятельства взлома также не были установлены. В 2019 году Олег Козловский подал иск против МТС, но суд его отклонил.
Защита аккаунтов различных веб-сервисов и приложений от взлома относится к ответственности самого пользователя. Такой позиции придерживаются и операторы связи, и сам регулятор, согласно которой они и отказываются разделять эти риски с собственным абонентом.
РКН в своем ответе описывает это так:
“… Согласно п.2.11 Условий МТС абонентам для целей идентификации у оператора связи предоставляется возможность использования Кодового слова — указываемой Абонентом в установленной Оператором форме последовательности символов (букв, цифр), служащей для идентификации Абонента при исполнении Договора. Абонент имеет возможность установить кодовое слово как при заключении договора (в этом случае оно вносится в бланк договора наряду с обязательными реквизитами), так и в любой момент исполнения договора. Несмотря на это, абонентом Мироновым А.К. кодовое слово до момента оспариваемого подключения услуги, не устанавливалось. При таких обстоятельствах только абонент посредством установления кодового слова при идентификации у оператора связи мог нивелировать риск неблагоприятных последствий от подобного рода ситуаций, однако данной возможностью не воспользовался”.
Жалоба на бездействие Роскомнадзора в прокуратуру уже подана. Тем временем, полиция продолжает молчать по заявлению о преступлении. О результатах расследования внутри компании также никто ничего не сообщает. МТС никакой вины не признает. Никому нет никакого дела. При этом, ВКонтакте продолжает отказывать владельцу аккаунта в восстановлении доступа к нему, пока он не принесет из полиции Постановление о возбуждении уголовного дела с установлением указанных фактов и письмо от МТС, в котором будет подтверждение оспоримости услуги по переадресации. В письме с достаточно пространными пояснениями есть еще требование, что Миронов также должен предоставить справку от МТС, что он является единоличным (а что, где-то операторы оформляют совместную собственность на номера телефонов?) пользователем номера телефона, который был привязан к странице. Ответ поступил в конце прошлой недели, и учитывая всю тупиковость ситуации и невозможность договориться с ВКонтакте на протяжении уже полугода, мы и обратились в суд.
Получить доступ к управлению телефонным номером злоумышленники могут и через другие уязвимости — протокол SS7 или получение дубликата сим-карты с помощью недобросовестных сотрудников оператора.
SS7 – это технический протокол, который используют операторы связи. Он содержит старую и, судя по всему, неустраняемую уязвимость, которая позволяет перехватывать данные, передаваемые абонентами во время звонка или в SMS. Доступ к SS7 есть только у операторов, но злоумышленники могут получить его, купив доступ в даркнете у операторов малоразвитых государств или через недобросовестных сотрудников мобильных операторов. Атака происходит, когда взломщик меняет адрес биллинговой системы абонента на адрес своей. Чаще всего злоумышленники этим сообщают системе, что абонент в международном роуминге, поэтому самый простой способ обезопасить себя — отключить возможность международного роуминга, если вы им не пользуетесь.
Еще у Алексея Миронова не была настроена система двухфакторной аутентификации для Вконтакте. Такая функция появилась в ВК в июне 2014 года. Возможно, она смогла бы защитить его аккаунт от взлома. Стоит помнить, что простая привязка аккаунта к номеру телефона — это не двухфакторная аутентификация. Двухфакторная аутентификация — это защита входа в аккаунт, когда в дополнение к паролю совершают ещё одно действие. Самый распространённый вариант — SMS-код. Этот способ не самый надёжный, так как злоумышленники могут перехватить SMS-сообщение. Более безопасные варианты — файл-ключ, временные коды, мобильное приложение и аппаратный токен.
К сожалению, мы вынуждены жить в эпоху, когда обеспечение защиты данных становится нашей собственной проблемой. Надеятся на то, что операторы будут самостоятельно нести ответственность в случае взлома, как видно, не приходится. Также как и надеяться на Роскомнадзор, который уже давно оторвался от реальности в своей практике по защите данных. Пробить броню «отказного материала» участкового, которому спустят ваше заявление по аналогичному случаю — невероятно сложно, особенно простому человеку, не знающему как работает это система. Что же остается? Не забывать про цифровую гигиену, доверять математике и защищать свои права в суде.
Алексей Миронов — основатель сети Jeffrey’s Coffee. Это франшиза кофеен в Москве и регионах. Алексей часто общался с коллегами и партнёрами ВКонтакте и вел там весьма популярный паблик своей сети, насчитывающий более 50 000 подписчиков.
В ноябре 2018 года, рано утром, когда Алексей находился в командировке в Китае, его страницу ВКонтакте взломали. Ему пришли SMS от ВКонтакте, WhatsApp и сообщение от оператора МТС, в котором говорилось, что настроена переадресация на другой номер. Алексей переадресацию не настраивал, поэтому сразу забеспокоился и позвонил в МТС. Там даже не сразу определили, что переадресация действительно есть. Отключить её оператор смог только через два часа после звонка Алексея. В МТС так и не нашли данные о том, как и когда была подключена переадресация.
Алексей проверил доступ к соцсетям и мессенджерам и увидел, что войти в них по номеру телефона уже не может. Взломщики привязали к его аккаунтам другой номер. С WhatsApp вопрос решился быстро. Сразу после отмены переадресации мессенджер восстановил доступ к аккаунту законному владельцу.
Алексей написал в поддержку ВКонтакте с просьбой вернуть страницу и отправил фото паспорта. Вечером ему пришло SMS, что заявка отклонена, так как текущий владелец подтвердил право доступа.
Специалист службы техподдержки заявил, что Алексей добровольно мог передать доступ к своей странице третьим лицам, поэтому восстанавливать ему доступ не будут. Алексей объяснил ситуацию со взломом, но у него попросили в подтверждение прислать письмо из МТС, в котором оператор подтверждал бы, что произошёл взлом. Письмо от МТС Алексей предоставил. После этого администрация ВКонтакте потребовала заверить это письмо в полиции. Такое требование очень сложно выполнить, потому что заверение писем и полномочий подписанта — это не функция полиции. Заблокировать взломанную страницу Алексей смог, только лично попросив об этом знакомых сотрудников ВКонтакте. Страницу не вернули до сих пор. Единственное, чего добился Алексей, — блокировка аккаунта. Теперь им не могут пользоваться ни мошенники, ни он сам.
Служба поддержки ВКонтакте — это отдельная история. Со службой поддержки ВКонтакте могут связаться только авторизованные пользователи. Это значит, что если вы потеряли доступ к своей странице, вы должны создать новую или просить друзей дать доступ к их страницам, чтобы написать в поддержку. Алексей переписывался со специалистами службы поддержки со страницы жены, и это не смутило их, хотя Пользовательское соглашение не разрешает передавать логин и пароль кому-то ещё.
Взлом страницы и дальнейшая потеря доступа к аккаунту и паблику, очевидно, нанесли ущерб как деловой репутации Алексея, так и его имущественным интересам. Не говоря о том, что это позволило утечь значительному массиву личной и коммерческой информации непонятно куда. Мошенники с аккаунта бизнесмена просили у его знакомых перевести им крупные суммы денег. Один человек перевёл им 34 тысячи рублей. Злоумышленники сутки имели доступ к личной информации аккаунта Алексея.
Иск против ВКонтакте
Алексей Миронов подал иск к социальной сети ВКонтакте в Смольнинский районный суд города Санкт-Петербурга и теперь ожидает назначения дела. Он просит суд обязать социальную сеть исполнить собственный договор, заключенный в форме Пользовательского соглашения и вернуть ему доступ к своей странице. Администрация ВКонтакте до настоящего времени продолжает лишать Алексея доступа к аккаунту необоснованно, тогда как он добросовестно выполнял условия Пользовательского соглашения и сразу сообщил службе технической поддержки соцсети о взломе. ВКонтакте отказалась восстанавливать ему доступ к странице, ссылаясь на пункт Пользовательского соглашения, который запрещает пользователям передавать логин и пароль их страницы третьим лицам. Агент поддержки ВКонтакте, с которым общался Алексей, заявил, что настроить переадресацию телефонного номера можно только при посещении офиса оператора и предъявлении паспорта. На деле это не так, и это подтвердил Роскомнадзор в ответ на обращение Алексея.
Социальная сеть, в нарушение Пользовательского соглашения, необоснованно ограничила доступ Алексея к использованию его страницы. Это односторонний отказ от исполнения обязательств, нарушающий п. 1 ст. 30 ГК РФ. Лишая его доступа к аккаунту, ВК также лишила Алексея и прав администрирования принадлежащего ему паблика, являющегося для него важным нематериальным активом. (О рынке пабликов как новой формы цифрового имущества и особенностях заключения сделок с ними мы писали ранее)
Дыры безопасности в системе идентификации МТС
По переписке, которую вели мошенники от лица предпринимателя, видно, что они знали о его бизнесе и командировке. Они позвонили в контактный центр МТС, смогли идентифицироваться от имени Алексея и настроили переадресацию. Злоумышленники могли получить его паспортные данные через социальный инжиниринг. Алексей Миронов — основатель франшизы, поэтому его паспортные данные могли быть у многих людей, занимающихся открытием заведений франшизы. МТС провела внутреннее расследование, но не смогла установить, кто именно установил переадресацию и как злоумышленник перехватил СМС. Компания не признала вину, но при этом предложила Алексею весьма странную компенсацию — 750 рублей.
Мы посчитали, что идентификация абонента удаленно лишь по корректным персональным данным является весьма сомнительной практикой и написали жалобу в Роскомнадзор о проверке соответствия подобного рода процесса компании требованиям законодательства о персональных данных. В результате Роскомнадзор встал на сторону МТС, указав, что управлять услугами связи после удаленной идентификации по телефону при предоставлении корректных персональных данных — это вполне нормальное явление, а установление дополнительных способов защиты от подобного рода неавторизованных действий — это головная боль самого абонента, а не компании. (читать полный ответ — здесь)
Взлом аккаунта Алексея Миронова — не первый случай несанкционированного доступа к данным абонентов МТС. В 2018 году базу данных 500 тысяч абонентов украли в Новосибирске двое злоумышленников, один из которых был сотрудником компании. Они пытались продать базу по цене 1 рубль за данные одного абонента.
В 2016 году были взломаны телеграм-аккаунты оппозиционных активистов Георгия Албурова и Олега Козловского. Их аккаунты были привязаны к номерам МТС, и незадолго до взлома на них была отключена услуга SMS и включена переадресация. Обстоятельства взлома также не были установлены. В 2019 году Олег Козловский подал иск против МТС, но суд его отклонил.
Защита аккаунтов различных веб-сервисов и приложений от взлома относится к ответственности самого пользователя. Такой позиции придерживаются и операторы связи, и сам регулятор, согласно которой они и отказываются разделять эти риски с собственным абонентом.
РКН в своем ответе описывает это так:
“… Согласно п.2.11 Условий МТС абонентам для целей идентификации у оператора связи предоставляется возможность использования Кодового слова — указываемой Абонентом в установленной Оператором форме последовательности символов (букв, цифр), служащей для идентификации Абонента при исполнении Договора. Абонент имеет возможность установить кодовое слово как при заключении договора (в этом случае оно вносится в бланк договора наряду с обязательными реквизитами), так и в любой момент исполнения договора. Несмотря на это, абонентом Мироновым А.К. кодовое слово до момента оспариваемого подключения услуги, не устанавливалось. При таких обстоятельствах только абонент посредством установления кодового слова при идентификации у оператора связи мог нивелировать риск неблагоприятных последствий от подобного рода ситуаций, однако данной возможностью не воспользовался”.
Восстановление аккаунта. Mission impossible
Жалоба на бездействие Роскомнадзора в прокуратуру уже подана. Тем временем, полиция продолжает молчать по заявлению о преступлении. О результатах расследования внутри компании также никто ничего не сообщает. МТС никакой вины не признает. Никому нет никакого дела. При этом, ВКонтакте продолжает отказывать владельцу аккаунта в восстановлении доступа к нему, пока он не принесет из полиции Постановление о возбуждении уголовного дела с установлением указанных фактов и письмо от МТС, в котором будет подтверждение оспоримости услуги по переадресации. В письме с достаточно пространными пояснениями есть еще требование, что Миронов также должен предоставить справку от МТС, что он является единоличным (а что, где-то операторы оформляют совместную собственность на номера телефонов?) пользователем номера телефона, который был привязан к странице. Ответ поступил в конце прошлой недели, и учитывая всю тупиковость ситуации и невозможность договориться с ВКонтакте на протяжении уже полугода, мы и обратились в суд.
Как обезопасить себя от взлома
Получить доступ к управлению телефонным номером злоумышленники могут и через другие уязвимости — протокол SS7 или получение дубликата сим-карты с помощью недобросовестных сотрудников оператора.
SS7 – это технический протокол, который используют операторы связи. Он содержит старую и, судя по всему, неустраняемую уязвимость, которая позволяет перехватывать данные, передаваемые абонентами во время звонка или в SMS. Доступ к SS7 есть только у операторов, но злоумышленники могут получить его, купив доступ в даркнете у операторов малоразвитых государств или через недобросовестных сотрудников мобильных операторов. Атака происходит, когда взломщик меняет адрес биллинговой системы абонента на адрес своей. Чаще всего злоумышленники этим сообщают системе, что абонент в международном роуминге, поэтому самый простой способ обезопасить себя — отключить возможность международного роуминга, если вы им не пользуетесь.
Еще у Алексея Миронова не была настроена система двухфакторной аутентификации для Вконтакте. Такая функция появилась в ВК в июне 2014 года. Возможно, она смогла бы защитить его аккаунт от взлома. Стоит помнить, что простая привязка аккаунта к номеру телефона — это не двухфакторная аутентификация. Двухфакторная аутентификация — это защита входа в аккаунт, когда в дополнение к паролю совершают ещё одно действие. Самый распространённый вариант — SMS-код. Этот способ не самый надёжный, так как злоумышленники могут перехватить SMS-сообщение. Более безопасные варианты — файл-ключ, временные коды, мобильное приложение и аппаратный токен.
К сожалению, мы вынуждены жить в эпоху, когда обеспечение защиты данных становится нашей собственной проблемой. Надеятся на то, что операторы будут самостоятельно нести ответственность в случае взлома, как видно, не приходится. Также как и надеяться на Роскомнадзор, который уже давно оторвался от реальности в своей практике по защите данных. Пробить броню «отказного материала» участкового, которому спустят ваше заявление по аналогичному случаю — невероятно сложно, особенно простому человеку, не знающему как работает это система. Что же остается? Не забывать про цифровую гигиену, доверять математике и защищать свои права в суде.