Как потерять аккаунт и сообщество из-за дыр в безопасности «ВКонтакте» и Tele2
Новая история с мошеннической схемой.
На прошлой неделе сразу две крупнейшие компании - Вконтакте и Теле2 - доказали свою полную несостоятельность в обеспечении сохранности личной информации.
Началась эта история в лучших традициях блокбастеров: у мужа прямо во время разговора с клиентом прервалась связь. Через считанные минуты социальная сеть отказала в доступе, и после нескольких неудачных попыток входа закрались мысли о том, что кто-то смог получить дубликат SIM-карты, что подтвердил телефонный оператор. За это время аккаунт Вконтакте был переведён на другой номер телефона и привязан к новой электронной почте. Лишившись "симки" на несколько минут, пользователь полностью потерял доступ к странице, беспомощно читая сообщения на почте о том, что аккаунт был присоединён к другому адресу. В сообщении от соцсети даже не было обязательной в таком случае ссылки, на которую можно перейти, если заявку отправили не вы.
Зачем утруждаться? Вконтакте уверил нас с вами, что защита страницы с помощью номера телефона, на который вы получаете код доступа, самая надежная и безупречная. Не предусмотрено даже проверочное слово, которое вводится при создании Яндекс-почты или онлайн-банка.
При попытке восстановить аккаунт, техподдержка Вконтакте, работающая чуть быстрее улитки, запросила паспортные данные, фотографию владельца страницы, по которой можно было удостовериться, что она соответствует ранее размещенным фотографиям пользователя. Одновременно на нового "владельца" странички сыпались жалобы друзей. Служба работала сутки, а потом выдала гениальный ответ, что по имеющейся у неё информации, пользователь добровольно передал свой аккаунт и поэтому доступ получить не сможет.
Новый запрос с просьбой предоставить такие данные рассматривался около 2 дней. За такой срок злоумышленники могут воспользоваться любыми возможностями аккаунта: начиная от конфиденциальной переписки до групп, созданных предыдущим владельцем.
На этот раз целью атаки было сообщество Вконтакте численностью более полумиллиона человек. Паблик по психологии был создан мужем ещё на заре существования соцсети в качестве хобби, а потом разросся в востребованное сообщество с отличной структурой, многочисленными обсуждениями и слаженной работой админов. В настоящий момент такие группы могут приносить регулярный доход от продажи рекламы, а стоимость самого паблика с такой численностью подписчиков по неофициальным данным составляет более миллиона рублей. Не буду подробно останавливаться на том, сколько сил и средств было вложено в проект: каждый, кто пробовал создать и вести даже небольшую группу, представляют масштаб необходимых затрат.
Как удалось выяснить в сотовой компании Теле-2, карта была получена по доверенности. Никаких дополнительных данных они не дали, а ответа за запрос придется ждать 30 дней. По прошествии недели никто даже не позвонил и не узнал, что же случилось. Пришлось действовать самостоятельно, и через знакомых мы узнали адрес салона, выдавшего симку. Муж не поленился и сходил туда.
Ему выдали доверенность, в которой действительно были указаны данные мужа и фирмы - то есть информация, которую при желании можно найти в интернете. Зато и печать, и подпись были поддельные. Да и сама доверенность сделана "на коленке", что видно невооруженным взглядом. Будь сотрудники Теле2 чуть внимательнее, они бы сразу это увидели. Фирма в трех местах называется совершенно по-разному, а доверяет получение симки вообще не организация, где работает муж, а некий ООО "Фикс".
Что касается подписи и печати, то никто их даже не проверяет. Выяснилось, что у крупнейшего сотового оператора, по словам их представителя, "нет технической возможности сверки подписи", а это значит, что любой человек может прийти с поддельной доверенностью и получить номер любого абонента. Правда, речь идет только о корпоративных номерах. К счастью для физических лиц и несчастью для юридических, обычно это можно сделать только с нотариальной доверенностью, которая, однако, не требуется в случае с привязкой номера к фирме, что по меньшей мере странно.
После того, как в службу поддержки Вконтакте была отправлена фотография поддельной доверенности, они хотя бы начали диалог и запросили от нас документ от Теле-2, где компания должна написать, где, в какое время и кому была выдана симкарта (без ведома мужа). НИКОГДА Теле-2 не даст такую бумагу, но мы хотя бы надеемся, что они выдадут документ с указанием имени мошенника и доверенности, а уже полиция подтвердит, что она поддельная.
Сейчас все запутано, полиция до сих пор не завела дело, ни о каком поиске мошенников даже не идет речь. Видимо, придется жаловаться в прокуратуру за бездействие. А аккаунт и паблик теперь так и висят заблокированные и ждут своего часа. Продолжение следует...
Есть какие-нибудь результаты?
Результат такой, что после предоставления копии фальшивой доверенности Вконтакте хотя бы заморозил аккаунт и паблик. Теле2 спустя три недели выдали бумагу с перечнем выданных в тот день сим-карт. А еще они "извинились" в личном сообщении, оценив наш ущерб в 1000 руб.
Теперь мы ждем заведения дела в полиции, которая сначала тянула до последнего, а потом выдала гениальный ответ в духе "вдовы, которая сама себя высекла". Несмотря на заявление, что доверенность поддельная, и печать с подписью не настоящие, оперативник без всякой проверки выдал вердикт, что документ был дан мошеннику в фирме, моим же мужем, и состава преступления не обнаружено. Ждем теперь ответа от прокуратуры, которая отвечает 30 дней.
Очень печальная история. Уже не первый раз слышу такую историю и возникает вопрос, как Вконтакте видит выход из этой ситуации. Совершенно точно, что обладая определенным желанием и знакомствами, можно увести у любого человека номер и сделать много-много разных вещей, не только угнать аккаунт ВК.
Напрашивается некий механизм однозначной идентификации, не привязанный к телефону или другим данным, которые можно достаточно легко украсть в наш век. А также механизм проверки подлинности транзакции передачи прав на аккаунт, хотя бы в виде уникальной фразы.
Полностью согласна! Почему-то тот же Яндекс давно догадался о проверочных словах, чтобы вернуть аккаунт. И откуда ВК взял эту формулировку "добровольная передача"? Просто так никто никогда ничего не отдает.
С проверочными словами есть очень большая проблема... На своем примере: Часть из моих аккаунтов создана много-много лет назад. Я совершенно не помню большинство из них. Какие-то записывал - но эти записи уже потерял. В итоге все свелось к использованию одного и того же слова (сложного, практически случайного), что при определенных условиях - не сильно большая альтернатива. В моем случае угадать его невозможно, но... один из методов такого взлома (когда есть необходимость) - это взлом других, менее защищенных аккаунтов, которые потенциально могут принадлежать, и подсматривание слова там. В каких-то случаях они могут совпасть - и тогда пользы не очень много.
Комментарий недоступен
Извините, а что это, где она осуществляется? Я знаю, что ВК есть двухэтапная авторизация, но она опять же предполагает наличие телефона, на который придет Смс. Вот и получилось, что такая защита не спасает в случае кражи телефона или номера
Настройки - Безопасность - Подтверждение входа - Подключить. Там не через sms, а через специальное приложение Google Authenticator на телефоне. Увод симки будет бесполезен, но телефон лучше не терять.
А если вход осуществляется также через компьютер? И с этой защитой, думаете, мошенник не смог бы зайти?
Хотя я сейчас протестил, там тупая система конешн... При подключении этого способа всё-равно оставляют возможность по sms-коду зайти и я не вижу как это отключить.
При любом входе надо будет открыть приложение на телефоне и там получить одноразовый код, который ручками ввести после логина и пароля. Без кода не пустит просто.
Спасибо за наводку! Изучим этот вопрос! А если они запросили восстановление через смс?... Вот, прочла ваше новое сообщение. И я о том же. Опять же привязка к телефону.
Ну тогда да, как советовали выше - для регистрации на важных сервисах иметь отдельную симку и отдельную почту, которые нигде больше не светить. Угон основной симки и основной почты не повлечёт за собой больших потерь.
А потом еще следить чтобы эту симку не удалили за отсутствие активности
Да, если и ее не вычислят.
ну вы понимаете что там через интернет на телеф приходит код!
Именно поэтому для действительно важных аккаунтов нужно иметь отдельный номер телефона, который нигде, кроме этих аккаунтов, не используется.
В данной ситуации понять ВКонтакте можно. Возможно, одновременно с поддельной доверенностью был изготовлен поддельный договор, по которому права на аккаунт были переданы. Вы же сами говорите, что его цена - 1 миллион рублей, вот и мошенники могли обосновать передачу таким договором с поддельным (или краденым) паспортом. А пока идет разбирательство - по-быстренькому перепродать его, и пусть уже новый владелец с вами возится. Раньше так с квартирами было, ничего нового.
А вот если такой скрытый номер убежит, то тут может быть только три подозреваемых (в отличие от миллионов с открытым номером):
1. Кто-то из своих. Такое тоже случается, тем более что номер принадлежит компании. Может прозвучать как паранойя, но в таких случаях вполне можно использовать различные схемы, когда номер регистрируется на какого-нибудь надежного сотрудника, он пишет доверенность и все это уходит в банковскую ячейку с контролем доступа. Мало ли что может с сотрудником случиться, поэтому при необходимости работодатель может извлечь доверенность. Но если утечка произойдет, всегда можно посмотреть - кто обращался в ячейку. Доверенность, конечно, можно отозвать, поэтому важно назначать именно ответственного сотрудника. Ну и стоит почитать договор с оператором, может вся эта схема незаконна. Преследовать оператор вряд ли будет, но в конфликтных случаях доступ можно потерять.
2. Сотовый оператор. Я не очень знаком с возможностями CRM различных сотовых сетей, но подозреваю, что при наличии паспортных данных, любой сотрудник любого салона может эти данные получить. Не говоря уже об утекших базах данных. Но если не знаешь, на какого именно сотрудника (см. п. 1) зарегистрировано
3. Сам Вконтакте. Вряд ли его сотрудники будут рисковать и предоставлять номер, но есть разные варианты, включая скрытые уязвимости и какие-то ошибки в коде, через которые можно данные выкачать. Тут я полностью согласен со статьей - ВКонтакте должен был предусмотреть процедуру оспаривания и возможность отмены перепривязки. Но представьте, если это делается в связи с тем, что телефон или email был украден? Получается, что злоумышленник, обладающий доступом к вашим коммуникациям, может очень быстро отменить такое переназначение.
Видимо вопрос тут скорее организационно-правовой - подобный сервис должен иметь возможность запретить (именно такую опцию) передачу аккаунта без личного присутствия и/или предоставления каких-либо документов, возможно с нотариальным присутствием. Соответственно, отключение такой опции - аналогично, только через личное присутствие. Процедура сложная, но при управлении чем-то ценой с бюджетную машину, вполне можно потерпеть неудобства.
Вам же желаю скорейшего восстановления доступа, и множество благодарностей за придание случаю публичности, чтобы те, кто действительно дорожат учетками, приняли меры к их защите!
Спасибо за поддержку!
ох, там тоже люди. кибер крайм отовсюду данные достает за $$$, также может быть соц инжинерия и т.д.
согласен, риск есть... но тогда угоны популярных пабликов были бы постоянны. Но возможно, там правда не $, а $$$, так что овчинка не всегда выделки стоит.
Не так давно я писал про похожую проблему на хабре
Я почитала вашу статью, вы все правильно пишете. Но тут номер абсолютно рабочий, по нему даже разговаривали в то время, как мошенник получал копию. И потом все обрубилось. Но за то время, пока мы соображали, что к чему, вор успел все сделать.
Комментарий недоступен
Очень интересно, но есть и проблема... Если, например, у меня украли телефон, я срочно получаю дубликат, и мне срочно нужно зайти в онлайн-банк (например, заблокировать карты - причины разные, от отсутствия кодового слова в банке - пока гром не грянет... до отсутствия карт с собой, чтобы позвонить в определенные банки, где это обязательно), который пришлет смс-подтверждение на мой телефон, который его просто не примет?
Комментарий недоступен
Я не требую угождения :)
Какое же приложение, если у меня телефон украли? :))))
Комментарий недоступен
А для чего тогда эти доверенности, если каждый желающий может их сделать? Но даже без проверок подписей и печати в той доверенности видно, что она составлена некорректно. Вообще непонятно, кто кому доверяет. И если бы сотрудник Теле2 хотя бы удосужился прочитать документ, у него бы закрались сомнения.
да ни для чего... паспорт тоже в современном мире не является средством идентификации, по крайней мере для обывателя, может сотрудники аэропортов что-то там шарят, а обычный вася в салоне... ну спросит "а это точно вы?", ну и все...
Получается, вообще никакой безопасности и никаких гарантий...
Размер затрат на обеспечение безопасности всегда прямо пропорционален стоимости защищаемого актива. Т.е. чем ценнее информация, тем сильнее (и дороже) должна быть защита. Вплоть до такой степени, что-бы усилия на обход этой защиты для злоумышленника были просто невыгодны.
Если стоимость группы исчисляется в миллионах рублей, то даже отдельный аккаунт, отдельная симка и отдельная почта только под этот аккаунт, отдельные телефон и компьютер (ну или хотяяяя бы виртуальная машина), с которых ничего кроме управления этим аккаунтом и этой группой не делается, не кажутся мне такими уж бредовыми идеями.
И если в физическом мире все давно привыкли покупать дверь покрепче как только в квартире появляются ценности и сигналку подороже при апгрейде машины, то к цифровому миру, увы, такой привычки пока не выработалось.
Александр, наверное, вы правы. Но даже при таком раскладе мы остаемся зависимы от сим-карты.
Комментарий недоступен
Извини, но мы живем в России..(
2019 год, диджитал, безопасность, роботы...
Жесть.
Держись!
Спасибо! И я все-таки верю, что мы можем что-то изменить, если будем говорить об этом.
Теле2 в своей опере..у них всегда работали подобные схемы, которые давно закрыли все остальные операторы
Насколько я поняла, такая история возможна с любым оператором. Например, недавно тут же писали о другой схеме мошенничества, еще более простой. В МТС
Вот статья на эту тему: https://vc.ru/claim/51650-tehpodderzhka-kotoraya-vam-ne-pomozhet-kak-mts-otdal-moshennikam-moy-nomer-a-vkontakte-akkaunt
Во всем цивилизованном мире и правовых государствах ,это называется кража личности людей ,в основном кражей личностей и персональных данных ,в Российской Федерации ,занимается отдел по борьбе с экстремизмом ,банально крадет личную информацию ,а потом по ворованной информации ,у пользователей ,возбуждает уголовные дела ,насчет воровства паспортных данных и уставных документов фирм ,эту информацию продает либо паспортный стол ,либо налоговая полиция ,Социальная Сеть В Контакте ,не безопасная социальная сеть ,по хранению личной литературной переписки клиентов и тем более личных данных и коммерческих банковских тайн Какая уголовная ответственность за кражу персональных данных в РФ? Что делать, если у вас украли личные данные, куда нужно обращаться? ... За кражу в России установлена уголовная ответственность. В ситуациях, когда дело касается хищения персональных данных, применяются нормы ст. 137 УК РФ, содержащей санкции за нарушение неприкосновенности частной жизни. Когда кража происходит путем взлома электронной почты, вскрытия почтовых конвертов с личной перепиской и т.д., применяется ст. 138 УК РФ. Неправомерные действия лиц могут не содержать состава уголовного преступления, однако нарушать требования Закона № 152-ФЗ. Скрыть
Anastasia, здравствуйте! Я официальный представитель компании Tele2 Россия в социальных сетях. Напишите, пожалуйста, нам в личку в любой социальной сети (https://vk.me/tele2 , https://facebook.com/Tele2Russia/, https://twitter.com/Tele2Russia, https://ok.ru/tele2) номер телефона и ссылку на эту статью. Мы постараемся во всем разобраться!
Спасибо, напишу. К сожалению, уже прошла неделя со дня подачи заявления в вашу компанию, и ничего еще не было сделано. Сегодня муж разговаривал с вашей службой безопасности. Такое равнодушие очень расстраивает
Написала вам, но ничего не происходит. Отношение Теле2 к клиентам оставляет желать лучшего.