Битва За Аккаунт. Основатель Сети Jeffrey's Coffee Подает В Суд На «Вконтакте»

Мошенники украли страницу предпринимателя Алексея Миронова ВКонтакте из-за уязвимости в системе идентификации клиентов МТС.

Соцсеть так и не вернула его владельцу и требует от него невозможного.

Теперь он судится за это с ВКонтакте.

Его представляет Центр цифровых прав.

Алексей Миронов – основатель сети Jeffrey’s Coffee. Это франшиза кофеен в Москве и регионах.

Алексей часто общался с коллегами и партнерами во «ВКонтакте» и вел там очень популярный паблик своей сети, насчитывающий более 50 000 подписчиков.

В ноябре 2018 года рано утром, когда Алексей находился в командировке в Китае, его страницу ВКонтакте взломали.

Ему пришло СМС от ВКонтакте, WhatsApp и сообщение от оператора МТС, в котором говорилось, что настроена переадресация на другой номер.

Алексей не настроил переадресацию, поэтому сразу забеспокоился и позвонил в МТС.

Они даже не сразу определили, что действительно был редирект. Оператор смог отключить его только через два часа после звонка Алексея.

В МТС так и не нашли данных о том, как и когда была активирована переадресация.

Алексей проверил доступ к соцсетям и мессенджерам и увидел, что больше не может зайти в них по своему номеру телефона.

Хакеры связали с его аккаунтами еще один номер.

С помощью WhatsApp проблема была решена быстро.

Сразу после отмены переадресации мессенджер восстановил доступ к аккаунту законному владельцу.

Алексей написал в поддержку ВКонтакте с просьбой вернуть страницу и прислал фото своего паспорта.

Вечером ему пришло смс, что заявка отклонена, так как текущий владелец подтвердил право доступа.

Специалист техподдержки заявил, что Алексей может добровольно передать доступ к своей странице третьим лицам, поэтому они не будут восстанавливать ему доступ.

Алексей объяснил ситуацию со взломом, но его попросили прислать письмо-подтверждение от МТС, в котором оператор подтвердит факт взлома.

Алексей предоставил письмо от МТС.

После этого администрация ВКонтакте потребовала заверить это письмо в полиции.

Это требование очень сложно выполнить, поскольку в функции полиции не входит заверение писем и полномочий подписавшего.

Заблокировать взломанную страницу Алексей смог, только лично спросив об этом знакомых ему сотрудников ВКонтакте.

Страница еще не возвращена.

Единственное, чего добился Алексей, — это блокировки его аккаунта.

Теперь ни мошенники, ни он сам не смогут этим воспользоваться.

Служба поддержки ВКонтакте – отдельная история.

Обратиться в службу поддержки ВКонтакте могут только авторизованные пользователи.

Это означает, что если вы потеряете доступ к своей странице, вам необходимо создать новую или попросить друзей предоставить доступ к их страницам, чтобы написать в поддержку.

Алексей переписывался со специалистами службы поддержки со страницы жены, и это их не смущало, хотя Пользовательское соглашение не позволяет передавать логин и пароль кому-либо другому.

Взлом страницы и дальнейшая потеря доступа к аккаунту и публичной странице явно нанесли ущерб как деловой репутации Алексея, так и его имущественным интересам.

Не говоря уже о том, что это привело к утечке значительного количества личной и коммерческой информации в неизвестные места.

Мошенники со счета бизнесмена просили его друзей перевести им крупные суммы денег.

Один человек перевел им 34 тысячи рублей.

Злоумышленники имели доступ к личной информации аккаунта Алексея в течение 24 часов.

Иск против ВКонтакте

Он просит суд обязать соцсеть выполнить собственное соглашение, заключенное в форме Пользовательского соглашения, и вернуть ему доступ к своей странице.

Администрация ВКонтакте по сей день продолжает необоснованно лишать Алексея доступа к его аккаунту, при этом он добросовестно выполнил условия Пользовательского соглашения и немедленно сообщил о взломе в службу технической поддержки социальной сети.

ВКонтакте отказал ему в восстановлении доступа к странице, сославшись на пункт Пользовательского соглашения, запрещающий пользователям передавать логин и пароль своей страницы третьим лицам.

Сотрудник службы поддержки ВКонтакте, с которым общался Алексей, заявил, что настроить переадресацию номера телефона можно, только посетив офис оператора и предъявив паспорт. На самом деле это не так, и это подтвердил Роскомнадзор в ответ на обращение Алексея.

Социальная сеть в нарушение Пользовательского соглашения необоснованно ограничила доступ Алексея к использованию своей страницы.

Это односторонний отказ от исполнения обязательств, нарушающий п.

1 ст. 30 Гражданского кодекса РФ.

Лишив доступа к своему аккаунту, ВК лишила Алексея и прав на администрирование его публичной страницы, которая является для него важным нематериальным активом.

(Мы писали о публичном рынке как новой форме цифровой собственности и особенностях заключения сделок с ними.

ранее )

Дыры безопасности в системе идентификации МТС

Позвонили в контакт-центр МТС, смогли идентифицировать себя от имени Алексея и настроить переадресацию.

Злоумышленники могли получить его паспортные данные посредством социальной инженерии.

Алексей Миронов является учредителем франшизы, поэтому его паспортные данные могли быть у многих людей, занимающихся открытием заведений по франшизе.

МТС провела внутреннее расследование, но не смогла определить, кто именно установил переадресацию и как злоумышленник перехватил СМС.

Компания не признала вину, но при этом предложила Алексею весьма странную компенсацию – 750 рублей.

Мы посчитали, что идентификация абонента удаленно только по верным персональным данным — весьма сомнительная практика, и написали жалобу в Роскомнадзор с просьбой проверить соответствие такого рода процедур компании требованиям законодательства о персональных данных.

В итоге Роскомнадзор встал на сторону МТС, указав, что управление услугами связи после удаленной идентификации по телефону с предоставлением корректных персональных данных вполне нормально, а установление дополнительных методов защиты от подобного рода несанкционированных действий – это головная боль самого абонента, а не компания .

(читать полный ответ - Здесь ) Взлом аккаунта Алексея Миронова — не первый случай несанкционированного доступа к данным абонентов МТС.

В 2018 году в базе 500 тысяч подписчиков.

украденный в Новосибирске двое нападавших, один из которых был сотрудником компании.

Базу пытались продать по цене 1 рубль за данные одного абонента.

В 2016 году было взломан Telegram-аккаунты оппозиционеров Георгия Албурова и Олега Козловского.

Их аккаунты были привязаны к номерам МТС, а незадолго до взлома у них был отключен сервис СМС и включена переадресация.

Обстоятельства взлома также не установлены.

В 2019 году Олег Козловский подал иск против МТС, но суд его отклонил.

Защита аккаунтов различных веб-сервисов и приложений от взлома является обязанностью самого пользователя.

Эту позицию разделяют и операторы связи, и сам регулятор, согласно которому они отказываются разделить эти риски с собственными абонентами.

РКН в своем ответе описывает это так: «…Согласно п.

2.11 Условий МТС, для целей идентификации абонентам оператора связи предоставляется возможность использовать Кодовое слово – последовательность символов (букв, цифр), заданную Абонентом в форме, установленной Абонентом.

Оператора, который служит для идентификации Абонента при заключении Соглашения.

Абонент имеет возможность установить кодовое слово как при заключении договора (в этом случае оно вводится в форму договора вместе с обязательными реквизитами), так и в любой момент исполнения договора.

Несмотря на это, абонент Миронов А.

К.

кодовое слово не было установлено до спорного подключения услуги.

При таких обстоятельствах только абонент, установив кодовое слово при идентификации с оператором связи, мог нейтрализовать риск неблагоприятных последствий от подобных ситуаций, но не воспользовался этой возможностью».

Восстановление аккаунта.

Задание невыполнимо

Тем временем полиция продолжает хранить молчание по поводу сообщения о преступлении.

Внутри компании о результатах расследования тоже никто ничего не сообщает. МТС никакой вины не признает. Никого это не волнует. При этом ВКонтакте продолжает отказывать владельцу аккаунта в восстановлении доступа к нему до тех пор, пока он не принесет из полиции Постановление о возбуждении уголовного дела, устанавливающее указанные факты, и письмо от МТС, которое подтвердит оспоримость услуги перенаправления.

В письме с достаточно обширными пояснениями также содержится требование о том, чтобы Миронов также предоставил справку от МТС о том, что он является единственным (а что, где-то операторы прописывают совместное владение телефонными номерами?) пользователем номера телефона, к которому он был привязан.

страница.

Ответ пришел в конце прошлой недели, а учитывая тупиковость ситуации и невозможность договориться с ВКонтакте вот уже полгода, мы обратились в суд.

Как защититься от взлома

SS7 — технический протокол, используемый операторами связи.

Он содержит старый и, по-видимому, неустранимый уязвимость , что позволяет перехватывать данные, передаваемые абонентами во время звонка или посредством SMS. Доступ к SS7 имеют только операторы, но злоумышленники могут получить его, купив доступ в даркнете у операторов слаборазвитых стран или через недобросовестных сотрудников мобильных операторов.

Атака происходит, когда злоумышленник меняет адрес биллинговой системы абонента на свой собственный адрес.

Чаще всего злоумышленники сообщают системе, что абонент находится в международном роуминге, поэтому самый простой способ обезопасить себя – отключить международный роуминг, если вы им не пользуетесь.

У Алексея Миронова еще не была настроена система двухфакторной аутентификации для Вконтакте.

Эта функция появился в ВК в июне 2014 года.

Возможно, она смогла бы защитить его аккаунт от взлома.

Стоит помнить, что простая привязка аккаунта к номеру телефона не является двухфакторной аутентификацией.

Двухфакторная аутентификация — это защита входа в аккаунт, когда помимо пароля выполняется еще одно действие.

Самый распространенный вариант – СМС-код. Этот метод не самый надежный, так как злоумышленники могут перехватить SMS-сообщение.

Более безопасные варианты — файл ключа, временные коды, мобильное приложение и аппаратный токен.

К сожалению, мы вынуждены жить в эпоху, когда обеспечение безопасности данных становится нашей собственной проблемой.

Они надеются, что операторы самостоятельно понесут ответственность в случае взлома, но, судя по всему, это не так.

Равно как и полагаться на Роскомнадзор, который в своей практике защиты данных уже давно оторван от реальности.

Пробить броню «отказного материала» участкового, который примет ваше заявление в подобном случае, невероятно сложно, особенно обычному человеку, не знающему, как работает эта система.

Что остается? Не забывайте о цифровой гигиене, доверяйте математике и защищайте свои права в суде.

Теги: #информационная безопасность #уязвимости #ИТ-законодательство #Социальные сети и сообщества #vk #вконтакте #МТС #Восстановление данных #Роскомнадзор #смс #смс #безопасность данных #конфиденциальность данных #миронов #взлом аккаунта

• Gaming Lynch: Арт-Директор Команды «Аллоды» Консультирует Проект «Цветные Маги»

  19 Oct, 24

• Системы Изоляции Воздушных Коридоров Дата-Центра. Часть 2. Холодные И Горячие Коридоры. Какой Из Них Мы Изолируем?

  19 Oct, 24

• Микросервисы В Java: Практическое Руководство

  19 Oct, 24

• Колеса Будущего, Какими Их Представляют Сегодня

  19 Oct, 24

• Расщепление Монолита – Пилотный Опыт

  19 Oct, 24

• Операций Ввода-Вывода В Секунду

  19 Oct, 24

• Радужное Доказательство Демонстрирует Наличие Стандартных Компонентов На Графиках

  19 Oct, 24

• Как Начинался Проект Pvs-Studio 10 Лет Назад

  19 Oct, 24

• Как Работает Общее Меню Wargaming

  19 Oct, 24

• Цру Для Детей.

  19 Oct, 24