Provisov.netМиссия невыполнима, или Защита данных по-русски
Еще одна история о том, как в одночасье Анастасия Шестакова и ее супруг лишились популярной группы в социальной сети “Вконтакте” стоимостью более одного миллиона рублей:
Помните, как Том Круз в команде с лучшими программистами лихо вторгался в банки и вскрывал сейфы, попутно взламывая всевозможные системы безопасности? «Так бывает только в фильмах», — облегченно скажете вы. Не спешите обольщаться: в российских реалиях не нужно быть спецагентом, чтобы заполучить конфиденциальные данные, защиту которых нам обещают коммуникационные компании. На этой неделе сразу две крупнейшие компании — Вконтакте и Теле2 — доказали свою полную несостоятельность в обеспечении сохранности личной информации.
Началась эта история в лучших традициях блокбастеров: у мужа прямо во время разговора с клиентом прервалась связь. Через считанные минуты социальная сеть отказала в доступе, и после нескольких неудачных попыток входа закрались мысли о том, что кто-то смог получить дубликат SIM-карты, что подтвердил телефонный оператор. За это время аккаунт Вконтакте был переведён на другой номер телефона и привязан к новой электронной почте. Лишившись «симки» на несколько минут, пользователь полностью потерял доступ к странице, беспомощно читая сообщения на почте о том, что аккаунт был присоединён к другому адресу. В сообщении от соцсети даже не было обязательной в таком случае ссылки, на которую можно перейти, если заявку отправили не вы. Зачем утруждаться? Вконтакте уверил нас с вами, что защита страницы с помощью номера телефона, на который вы получаете код доступа, самая надежная и безупречная. Не предусмотрено даже проверочное слово, которое вводится при создании Яндекс-почты или онлайн-банка.
При попытке восстановить аккаунт, техподдержка Вконтакте, работающая чуть быстрее улитки, запросила паспортные данные, фотографию владельца страницы, по которой можно было удостовериться, что она соответствует ранее размещенным фотографиям пользователя. Одновременно на нового «владельца» странички сыпались жалобы друзей. Служба работала сутки, а потом выдала гениальный ответ, что по имеющейся у неё информации, пользователь добровольно передал свой аккаунт и поэтому доступ получить не сможет. Новый запрос с просьбой предоставить такие данные будет рассмотрен предположительно через 48 часов. Если к ним добавить предыдущие сутки ожидания, то станет понятно, что за такой срок злоумышленники могут воспользоваться любыми возможностями аккаунта: начиная от конфиденциальной переписки до групп, созданных предыдущим владельцем. Что и было сделано: вся эта гениальная махинация была произведена с одной целью — похитить доступ к сообществу Вконтакте численностью более полумиллиона человек. Паблик был создан мужем ещё на заре существования соцсети в качестве хобби, а потом разросся в востребованное сообщество с отличной структурой, многочисленными обсуждениями и слаженной работой админов. В настоящий момент такие группы могут приносить регулярный доход от продажи рекламы, а стоимость самого паблика с такой численностью подписчиков по неофициальным данным составляет более миллиона рублей. Не буду подробно останавливаться на том, сколько сил и средств было вложено в проект: каждый, кто пробовал создать и вести даже небольшую группу, представляют масштаб необходимых затрат.
«А что же Теле2», — спросите вы? Пока у нас нет данных, каким образом мошенники смогли оформить дубликат SIM-карты с чужим номером, причём корпоративным. Известно одно: у крупнейшего сотового оператора, по словам их представителя, «нет технической возможности сверки подписи», а это значит, что любой человек может прийти с поддельной доверенностью и получить номер любого абонента. А в данном случае это была тщательно спланированная операция, очевидно, с участием целой группы мошенников. При желании, с полученной картой они могли взломать рабочую почту и другие ресурсы, которые привязаны к номеру. Больно и горько сознавать, что за один день сразу в двух компаниях произошла серьезная утечка личных данных, и извиняться никто не торопится: дело житейское.
