Как потерять аккаунт и сообщество из-за дыр в безопасности «ВКонтакте» и Tele2

Новая история с мошеннической схемой.

На прошлой неделе сразу две крупнейшие компании - Вконтакте и Теле2 - доказали свою полную несостоятельность в обеспечении сохранности личной информации.

Началась эта история в лучших традициях блокбастеров: у мужа прямо во время разговора с клиентом прервалась связь. Через считанные минуты социальная сеть отказала в доступе, и после нескольких неудачных попыток входа закрались мысли о том, что кто-то смог получить дубликат SIM-карты, что подтвердил телефонный оператор. За это время аккаунт Вконтакте был переведён на другой номер телефона и привязан к новой электронной почте. Лишившись "симки" на несколько минут, пользователь полностью потерял доступ к странице, беспомощно читая сообщения на почте о том, что аккаунт был присоединён к другому адресу. В сообщении от соцсети даже не было обязательной в таком случае ссылки, на которую можно перейти, если заявку отправили не вы.

В письме нет ссылки, по которой можно опротестовать перевод аккаунта на другую почту. Непонятен смысл такого уведомления: если человек делает это по доброй воле, вряд ли ему нужна эта информация. Анастасия Шестакова

Зачем утруждаться? Вконтакте уверил нас с вами, что защита страницы с помощью номера телефона, на который вы получаете код доступа, самая надежная и безупречная. Не предусмотрено даже проверочное слово, которое вводится при создании Яндекс-почты или онлайн-банка.

При попытке восстановить аккаунт, техподдержка Вконтакте, работающая чуть быстрее улитки, запросила паспортные данные, фотографию владельца страницы, по которой можно было удостовериться, что она соответствует ранее размещенным фотографиям пользователя. Одновременно на нового "владельца" странички сыпались жалобы друзей. Служба работала сутки, а потом выдала гениальный ответ, что по имеющейся у неё информации, пользователь добровольно передал свой аккаунт и поэтому доступ получить не сможет.

Новый запрос с просьбой предоставить такие данные рассматривался около 2 дней. За такой срок злоумышленники могут воспользоваться любыми возможностями аккаунта: начиная от конфиденциальной переписки до групп, созданных предыдущим владельцем.

На этот раз целью атаки было сообщество Вконтакте численностью более полумиллиона человек. Паблик по психологии был создан мужем ещё на заре существования соцсети в качестве хобби, а потом разросся в востребованное сообщество с отличной структурой, многочисленными обсуждениями и слаженной работой админов. В настоящий момент такие группы могут приносить регулярный доход от продажи рекламы, а стоимость самого паблика с такой численностью подписчиков по неофициальным данным составляет более миллиона рублей. Не буду подробно останавливаться на том, сколько сил и средств было вложено в проект: каждый, кто пробовал создать и вести даже небольшую группу, представляют масштаб необходимых затрат.

Как удалось выяснить в сотовой компании Теле-2, карта была получена по доверенности. Никаких дополнительных данных они не дали, а ответа за запрос придется ждать 30 дней. По прошествии недели никто даже не позвонил и не узнал, что же случилось. Пришлось действовать самостоятельно, и через знакомых мы узнали адрес салона, выдавшего симку. Муж не поленился и сходил туда.

Ему выдали доверенность, в которой действительно были указаны данные мужа и фирмы - то есть информация, которую при желании можно найти в интернете. Зато и печать, и подпись были поддельные. Да и сама доверенность сделана "на коленке", что видно невооруженным взглядом. Будь сотрудники Теле2 чуть внимательнее, они бы сразу это увидели. Фирма в трех местах называется совершенно по-разному, а доверяет получение симки вообще не организация, где работает муж, а некий ООО "Фикс".

Что касается подписи и печати, то никто их даже не проверяет. Выяснилось, что у крупнейшего сотового оператора, по словам их представителя, "нет технической возможности сверки подписи", а это значит, что любой человек может прийти с поддельной доверенностью и получить номер любого абонента. Правда, речь идет только о корпоративных номерах. К счастью для физических лиц и несчастью для юридических, обычно это можно сделать только с нотариальной доверенностью, которая, однако, не требуется в случае с привязкой номера к фирме, что по меньшей мере странно.

После того, как в службу поддержки Вконтакте была отправлена фотография поддельной доверенности, они хотя бы начали диалог и запросили от нас документ от Теле-2, где компания должна написать, где, в какое время и кому была выдана симкарта (без ведома мужа). НИКОГДА Теле-2 не даст такую бумагу, но мы хотя бы надеемся, что они выдадут документ с указанием имени мошенника и доверенности, а уже полиция подтвердит, что она поддельная.

Сейчас все запутано, полиция до сих пор не завела дело, ни о каком поиске мошенников даже не идет речь. Видимо, придется жаловаться в прокуратуру за бездействие. А аккаунт и паблик теперь так и висят заблокированные и ждут своего часа. Продолжение следует...

0
43 комментария
Написать комментарий...
Mikhail Shamov

Есть какие-нибудь результаты?

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

Результат такой, что после предоставления копии фальшивой доверенности Вконтакте хотя бы заморозил аккаунт и паблик. Теле2 спустя три недели выдали бумагу с перечнем выданных в тот день сим-карт. А еще они "извинились" в личном сообщении, оценив наш ущерб в 1000 руб.

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

Теперь мы ждем заведения дела в полиции, которая сначала тянула до последнего, а потом выдала гениальный ответ в духе "вдовы, которая сама себя высекла". Несмотря на заявление, что доверенность поддельная, и печать с подписью не настоящие, оперативник без всякой проверки выдал вердикт, что документ был дан мошеннику в фирме, моим же мужем, и состава преступления не обнаружено. Ждем теперь ответа от прокуратуры, которая отвечает 30 дней.

Ответить
Развернуть ветку
Константин Сорокин

Очень печальная история. Уже не первый раз слышу такую историю и возникает вопрос, как Вконтакте видит выход из этой ситуации. Совершенно точно, что обладая определенным желанием и знакомствами, можно увести у любого человека номер и сделать много-много разных вещей, не только угнать аккаунт ВК.

Напрашивается некий механизм однозначной идентификации, не привязанный к телефону или другим данным, которые можно достаточно легко украсть в наш век. А также механизм проверки подлинности транзакции передачи прав на аккаунт, хотя бы в виде уникальной фразы.

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

Полностью согласна! Почему-то тот же Яндекс давно догадался о проверочных словах, чтобы вернуть аккаунт. И откуда ВК взял эту формулировку "добровольная передача"? Просто так никто никогда ничего не отдает.

Ответить
Развернуть ветку
Олег Петров

С проверочными словами есть очень большая проблема... На своем примере: Часть из моих аккаунтов создана много-много лет назад. Я совершенно не помню большинство из них. Какие-то записывал - но эти записи уже потерял. В итоге все свелось к использованию одного и того же слова (сложного, практически случайного), что при определенных условиях - не сильно большая альтернатива. В моем случае угадать его невозможно, но... один из методов такого взлома (когда есть необходимость) - это взлом других, менее защищенных аккаунтов, которые потенциально могут принадлежать, и подсматривание слова там. В каких-то случаях они могут совпасть - и тогда пользы не очень много.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

Извините, а что это, где она осуществляется? Я знаю, что ВК есть двухэтапная авторизация, но она опять же предполагает наличие телефона, на который придет Смс. Вот и получилось, что такая защита не спасает в случае кражи телефона или номера

Ответить
Развернуть ветку
Aleksandr Ostrenko

Настройки - Безопасность - Подтверждение входа - Подключить. Там не через sms, а через специальное приложение Google Authenticator на телефоне. Увод симки будет бесполезен, но телефон лучше не терять.

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

А если вход осуществляется также через компьютер? И с этой защитой, думаете, мошенник не смог бы зайти?

Ответить
Развернуть ветку
Aleksandr Ostrenko

Хотя я сейчас протестил, там тупая система конешн... При подключении этого способа всё-равно оставляют возможность по sms-коду зайти и я не вижу как это отключить.

Ответить
Развернуть ветку
Aleksandr Ostrenko

При любом входе надо будет открыть приложение на телефоне и там получить одноразовый код, который ручками ввести после логина и пароля. Без кода не пустит просто.

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

Спасибо за наводку! Изучим этот вопрос! А если они запросили восстановление через смс?... Вот, прочла ваше новое сообщение. И я о том же. Опять же привязка к телефону.

Ответить
Развернуть ветку
Aleksandr Ostrenko

Ну тогда да, как советовали выше - для регистрации на важных сервисах иметь отдельную симку и отдельную почту, которые нигде больше не светить. Угон основной симки и основной почты не повлечёт за собой больших потерь.

Ответить
Развернуть ветку
Максим Морозов

А потом еще следить чтобы эту симку не удалили за отсутствие активности

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

Да, если и ее не вычислят.

Ответить
Развернуть ветку
Денис Котов

ну вы понимаете что там через интернет на телеф приходит код!

Ответить
Развернуть ветку
Олег Петров

Именно поэтому для действительно важных аккаунтов нужно иметь отдельный номер телефона, который нигде, кроме этих аккаунтов, не используется.

В данной ситуации понять ВКонтакте можно. Возможно, одновременно с поддельной доверенностью был изготовлен поддельный договор, по которому права на аккаунт были переданы. Вы же сами говорите, что его цена - 1 миллион рублей, вот и мошенники могли обосновать передачу таким договором с поддельным (или краденым) паспортом. А пока идет разбирательство - по-быстренькому перепродать его, и пусть уже новый владелец с вами возится. Раньше так с квартирами было, ничего нового.

А вот если такой скрытый номер убежит, то тут может быть только три подозреваемых (в отличие от миллионов с открытым номером):

1. Кто-то из своих. Такое тоже случается, тем более что номер принадлежит компании. Может прозвучать как паранойя, но в таких случаях вполне можно использовать различные схемы, когда номер регистрируется на какого-нибудь надежного сотрудника, он пишет доверенность и все это уходит в банковскую ячейку с контролем доступа. Мало ли что может с сотрудником случиться, поэтому при необходимости работодатель может извлечь доверенность. Но если утечка произойдет, всегда можно посмотреть - кто обращался в ячейку. Доверенность, конечно, можно отозвать, поэтому важно назначать именно ответственного сотрудника. Ну и стоит почитать договор с оператором, может вся эта схема незаконна. Преследовать оператор вряд ли будет, но в конфликтных случаях доступ можно потерять.

2. Сотовый оператор. Я не очень знаком с возможностями CRM различных сотовых сетей, но подозреваю, что при наличии паспортных данных, любой сотрудник любого салона может эти данные получить. Не говоря уже об утекших базах данных. Но если не знаешь, на какого именно сотрудника (см. п. 1) зарегистрировано

3. Сам Вконтакте. Вряд ли его сотрудники будут рисковать и предоставлять номер, но есть разные варианты, включая скрытые уязвимости и какие-то ошибки в коде, через которые можно данные выкачать. Тут я полностью согласен со статьей - ВКонтакте должен был предусмотреть процедуру оспаривания и возможность отмены перепривязки. Но представьте, если это делается в связи с тем, что телефон или email был украден? Получается, что злоумышленник, обладающий доступом к вашим коммуникациям, может очень быстро отменить такое переназначение.

Видимо вопрос тут скорее организационно-правовой - подобный сервис должен иметь возможность запретить (именно такую опцию) передачу аккаунта без личного присутствия и/или предоставления каких-либо документов, возможно с нотариальным присутствием. Соответственно, отключение такой опции - аналогично, только через личное присутствие. Процедура сложная, но при управлении чем-то ценой с бюджетную машину, вполне можно потерпеть неудобства.

Вам же желаю скорейшего восстановления доступа, и множество благодарностей за придание случаю публичности, чтобы те, кто действительно дорожат учетками, приняли меры к их защите!

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

Спасибо за поддержку!

Ответить
Развернуть ветку
Ware Wow
Вряд ли его сотрудники будут рисковать и предоставлять номер

ох, там тоже люди. кибер крайм отовсюду данные достает за $$$, также может быть соц инжинерия и т.д.

Ответить
Развернуть ветку
Олег Петров

согласен, риск есть... но тогда угоны популярных пабликов были бы постоянны. Но возможно, там правда не $, а $$$, так что овчинка не всегда выделки стоит.

Ответить
Развернуть ветку
Максим Морозов

Не так давно я писал про похожую проблему на хабре

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

Я почитала вашу статью, вы все правильно пишете. Но тут номер абсолютно рабочий, по нему даже разговаривали в то время, как мошенник получал копию. И потом все обрубилось. Но за то время, пока мы соображали, что к чему, вор успел все сделать.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Олег Петров

Очень интересно, но есть и проблема... Если, например, у меня украли телефон, я срочно получаю дубликат, и мне срочно нужно зайти в онлайн-банк (например, заблокировать карты - причины разные, от отсутствия кодового слова в банке - пока гром не грянет... до отсутствия карт с собой, чтобы позвонить в определенные банки, где это обязательно), который пришлет смс-подтверждение на мой телефон, который его просто не примет?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Олег Петров

Я не требую угождения :)

Какое же приложение, если у меня телефон украли? :))))

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

А для чего тогда эти доверенности, если каждый желающий может их сделать? Но даже без проверок подписей и печати в той доверенности видно, что она составлена некорректно. Вообще непонятно, кто кому доверяет. И если бы сотрудник Теле2 хотя бы удосужился прочитать документ, у него бы закрались сомнения.

Ответить
Развернуть ветку
Ware Wow

да ни для чего... паспорт тоже в современном мире не является средством идентификации, по крайней мере для обывателя, может сотрудники аэропортов что-то там шарят, а обычный вася в салоне... ну спросит "а это точно вы?", ну и все...

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

Получается, вообще никакой безопасности и никаких гарантий...

Ответить
Развернуть ветку
Aleksandr Ostrenko

Размер затрат на обеспечение безопасности всегда прямо пропорционален стоимости защищаемого актива. Т.е. чем ценнее информация, тем сильнее (и дороже) должна быть защита. Вплоть до такой степени, что-бы усилия на обход этой защиты для злоумышленника были просто невыгодны.
Если стоимость группы исчисляется в миллионах рублей, то даже отдельный аккаунт, отдельная симка и отдельная почта только под этот аккаунт, отдельные телефон и компьютер (ну или хотяяяя бы виртуальная машина), с которых ничего кроме управления этим аккаунтом и этой группой не делается, не кажутся мне такими уж бредовыми идеями.
И если в физическом мире все давно привыкли покупать дверь покрепче как только в квартире появляются ценности и сигналку подороже при апгрейде машины, то к цифровому миру, увы, такой привычки пока не выработалось.

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

Александр, наверное, вы правы. Но даже при таком раскладе мы остаемся зависимы от сим-карты.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Dmitry Getsevichyus

Извини, но мы живем в России..(
2019 год, диджитал, безопасность, роботы...
Жесть.
Держись!

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

Спасибо! И я все-таки верю, что мы можем что-то изменить, если будем говорить об этом.

Ответить
Развернуть ветку
Иван Никифоров

Теле2 в своей опере..у них всегда работали подобные схемы, которые давно закрыли все остальные операторы

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

Насколько я поняла, такая история возможна с любым оператором. Например, недавно тут же писали о другой схеме мошенничества, еще более простой. В МТС

Ответить
Развернуть ветку
Anastasia Shestakova
Автор
Ответить
Развернуть ветку
Евгений Харлан

Во всем цивилизованном мире и правовых государствах ,это называется кража личности людей ,в основном кражей личностей и персональных данных ,в Российской Федерации ,занимается отдел по борьбе с экстремизмом ,банально крадет личную информацию ,а потом по ворованной информации ,у пользователей ,возбуждает уголовные дела ,насчет воровства паспортных данных и уставных документов фирм ,эту информацию продает либо паспортный стол ,либо налоговая полиция ,Социальная Сеть В Контакте ,не безопасная социальная сеть ,по хранению личной литературной переписки клиентов и тем более личных данных и коммерческих банковских тайн Какая уголовная ответственность за кражу персональных данных в РФ? Что делать, если у вас украли личные данные, куда нужно обращаться? ... За кражу в России установлена уголовная ответственность. В ситуациях, когда дело касается хищения персональных данных, применяются нормы ст. 137 УК РФ, содержащей санкции за нарушение неприкосновенности частной жизни. Когда кража происходит путем взлома электронной почты, вскрытия почтовых конвертов с личной перепиской и т.д., применяется ст. 138 УК РФ. Неправомерные действия лиц могут не содержать состава уголовного преступления, однако нарушать требования Закона № 152-ФЗ. Скрыть

Ответить
Развернуть ветку
Алекс Морозов

Anastasia, здравствуйте! Я официальный представитель компании Tele2 Россия в социальных сетях. Напишите, пожалуйста, нам в личку в любой социальной сети (https://vk.me/tele2 , https://facebook.com/Tele2Russia/, https://twitter.com/Tele2Russia, https://ok.ru/tele2) номер телефона и ссылку на эту статью. Мы постараемся во всем разобраться!

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

Спасибо, напишу. К сожалению, уже прошла неделя со дня подачи заявления в вашу компанию, и ничего еще не было сделано. Сегодня муж разговаривал с вашей службой безопасности. Такое равнодушие очень расстраивает

Ответить
Развернуть ветку
Anastasia Shestakova
Автор

Написала вам, но ничего не происходит. Отношение Теле2 к клиентам оставляет желать лучшего.

Ответить
Развернуть ветку
40 комментариев
Раскрывать всегда