В ночь на 29 апреля 2016 года были взломаны аккаунты двух оппозиционных активистов — Олега Козловского и Георгия Албурова. Атака была необычна тем, что в ней ключевую роль играл оператор сотовой связи МТС, абонентами которого были Козловский и Албуров.
Как произошел взлом
Схема атаки была простой
- Ночью отдел технологической безопасности МТС отключает Козловскому и Албурову прием SMS, мобильный Интернет, информирование о подключенных и отключенных услугах и еще ряд базовых сервисов.
- Через несколько минут злоумышленники через анонимайзер Tor направляют в Telegram запрос на вход в аккаунты Козловского и Албурова.
- Telegram, как и положено, отправляет SMS с кодом авторизации на соответствующие номера. Козловский и Албуров их не получают, поскольку сервис приема SMS у них отключен.
- Зато эти коды попадают к злоумышленникам, которые еще через несколько минут успешно авторизуются в Telegram и скачивают все сообщения.
- Спустя несколько часов, когда вся грязная работа окончена, МТС восстанавливает отключенные сервисы, чтобы Козловский и Албуров ничего не заметили.
Хронология событий
Козловский
02:25:14 МТС включает запрет на информирование о добавлении/удалении услуг
02:25:48 МТС отключает услуги СМС и мобильного интернета
02:39:30 У сервиса Telegram запрашивается вход в аккаунт, одоразовый код отправляется по СМС
03:08 Выполняется вход в аккаунт с ip адреса 162.247.72.27 и начинается скачивание переписки
04:55:34 МТС возвращает услуги СМС и мобильного интернета
02:25:14 МТС включает запрет на информирование о добавлении/удалении услуг
02:25:48 МТС отключает услуги СМС и мобильного интернета
02:39:30 У сервиса Telegram запрашивается вход в аккаунт, одоразовый код отправляется по СМС
03:08 Выполняется вход в аккаунт с ip адреса 162.247.72.27 и начинается скачивание переписки
04:55:34 МТС возвращает услуги СМС и мобильного интернета
Албуров
02:23:20 МТС включает запрет на информирование о добавлении/удалении услуг
02:23:47 МТС отключает услуги СМС и мобильного интернета
02:39:12 У сервиса Telegram запрашивается вход в аккаунт, одоразовый код отправляется по СМС
03:12 Выполняется вход в аккаунт с ip адреса 162.247.72.27 и начинается скачивание переписки
08:11:50 МТС возвращает услуги СМС и мобильного интернета
02:23:20 МТС включает запрет на информирование о добавлении/удалении услуг
02:23:47 МТС отключает услуги СМС и мобильного интернета
02:39:12 У сервиса Telegram запрашивается вход в аккаунт, одоразовый код отправляется по СМС
03:12 Выполняется вход в аккаунт с ip адреса 162.247.72.27 и начинается скачивание переписки
08:11:50 МТС возвращает услуги СМС и мобильного интернета
Таким образом, взлом аккаунтов — уголовное преступление, произошел при непосредственном участии компании МТС.
Как отреагировал МТС
После того, как поднялась шумиха, представители МТС выбрали позицию «мы ничего не делали».
Вот ответ на официальный запрос об отключении услуг
Вот ответ на официальный запрос об отключении услуг
Аналогичные ответы были в твиттере
@alburov, по вашему номеру действий обслуживания не производилось ^ВТ #МТС
— МТС Россия (@ru_mts) April 29, 2016
@kozlovsky, информация об отключении услуги сотрудником МТС не соответствует действительности. -->
— МТС Россия (@ru_mts) April 30, 2016
@kozlovsky, мы не исключаем вероятности вирусной атаки или доступа к аккаунту через веб-интерфейс. ^КЧ #МТС
— МТС Россия (@ru_mts) April 30, 2016
В СМИ говорилось то же самое
Никаких целенаправленных действий по отключению услуг не производилось. Не исключаю вероятности вирусной атаки или доступа к аккаунту через веб-интерфейс
Пресс-секретарь МТС «Не исключает вероятность вирусной атаки». Ладно, сделаем подарок господину Солодовникову и обратим внимание на эту версию. Прикладываем скриншоты с «атакованных» телефонов. Взломать одновременно iPhone 6 и Samsung Galaxy — американская АНБ помирает от зависти.
Может быть взломали личный кабинет на сайте? Но нет, входов туда до взлома также не было
Как видим, атака была возможна только при активной помощи МТС. Никаким другим образом её объяснить нельзя.
публикуем документы
Как врал МТС
А теперь самое интересное. Разоблачаем ложь МТС. Дело в том, что сразу после взлома Олег Козловский позвонил оператору и два человека (оператор колл-центра и сотрудник экспертного управления) ему прямо сказали о следующем
- отключение сервиса действительно было
- оно было произведено отделом технологической безопасности МТС
- сервис был отключен в 2:25 и включен в 4:55
- переадресация SMS включена не была
Аналогичный ответ получила от МТС техническая служба СМС-провайдера, который обслуживает Telegram — прием СМС у Албурова и Козловского был отключен.
Однако, это всего лишь скриншоты и аудиозапись, скажут скептики. Может быть, их сделали в Госдепе на конспиративной квартире, чтобы опорочить светлое имя компании МТС, которая никогда никого не обманывает и уж тем более не является мальчиком на побегушках у хакеров?
И тут нам пришла помощь оттуда, откуда мы её меньше всего ждали.
Самое серьезное документальное доказательство своего соучастия в преступлении нам выдало само МТС. Это счет за услуги в апреле 2016 года. И в этом счете черным по белому указан список услуг, которые отключались и подключались, а также время этих операций. Дело в том, что все записи об удалении услуг они подчистили, а счет забыли. Нам удалось получить его официально, он заверен печатью и подписью ответственного сотрудника МТС.
И тут нам пришла помощь оттуда, откуда мы её меньше всего ждали.
Самое серьезное документальное доказательство своего соучастия в преступлении нам выдало само МТС. Это счет за услуги в апреле 2016 года. И в этом счете черным по белому указан список услуг, которые отключались и подключались, а также время этих операций. Дело в том, что все записи об удалении услуг они подчистили, а счет забыли. Нам удалось получить его официально, он заверен печатью и подписью ответственного сотрудника МТС.
Счет Козловского
Кликните для увеличения
Счет Албурова
Кликните для увеличения
Счет Албурова в высоком разрешении можете посмотреть тут, Козловского — тут.
Как видим, МТС официально, на бумаге с синей печатью, не только подтвердило слова своих сотрудников, но и дало новую информацию. Так мы узнали, что кроме SMS-сообщений были отключены мобильный Интернет, оповещение о подключении и отключении услуг и т.д. (Замену SIM-карты 21 апреля Козловский действительно производил, это нормальная операция.)
У Олега Козловского помимо прочего еще на 7 минут отключали все эти услуги (кроме SMS) в 18:45 29 апреля — через 4 минуты после публикации им поста с расследованием взлома. Возможно, злоумышленники хотели еще раз залогиниться в Telegram, чтобы отключить свое устройство и замести следы.
Как видим, МТС официально, на бумаге с синей печатью, не только подтвердило слова своих сотрудников, но и дало новую информацию. Так мы узнали, что кроме SMS-сообщений были отключены мобильный Интернет, оповещение о подключении и отключении услуг и т.д. (Замену SIM-карты 21 апреля Козловский действительно производил, это нормальная операция.)
У Олега Козловского помимо прочего еще на 7 минут отключали все эти услуги (кроме SMS) в 18:45 29 апреля — через 4 минуты после публикации им поста с расследованием взлома. Возможно, злоумышленники хотели еще раз залогиниться в Telegram, чтобы отключить свое устройство и замести следы.
Итого
Хотя, первоначально сотрудники МТС подтвердили факт отключения и подключения услуг, спустя несколько часов компания стала все отрицать. Официальная формула, которую, как мантру, дословно повторяют все представители МТС, звучит так: «Никаких целенаправленных действий по отключению услуги не производилось. Информация об отключении услуги нашим сотрудником не соответствуют действительности. Мы не исключаем вирусной атаки или доступа к аккаунту через веб-интерфейс».
Это вранье, цель которого — запутать людей, не знакомых с ситуацией.
Во-первых, как мы уже знаем, отключение услуг производилось. Это подтверждается многочисленными доказательствами, ни одно из которых МТС не опровергает.
Во-вторых, нет оснований сомневаться в словах сотрудницы МТС, сообщившей, что отключение произвел отдел технологической безопасности. Выдумывать это ей смысла нет, а оговориться или ошибиться так просто невозможно. Очевидно, что действия отдела безопасности, по определению, целенаправленные, если исключить совсем комичные варианты типа пьяной оргии во время ночного дежурства, в ходе которой были случайно отключены сервисы именно у Козловского и Албурова.
В-третьиих, вирусная атака через телефоны Албурова и Козловского тоже невозможна. Для этого потребовалось бы одновременно дистанционно заразить iPhone Албурова и Samsung Galaxy Козловского — смартфоны на совершенно разных платформах, с собственным антивирусным софтом. Эти телефоны также никогда не бывали в руках силовиков, поэтому вариант «закладки» тоже не подходит.
Наконец, версия со взломом аккаунта через веб-интерфейс (вероятно, МТС имело в виду личный кабинет абонента) тоже не годится. Согласно логам, в него никто не входил перед или во время атаки. Думаем, в этом не сомневается и сама компания МТС, иначе их флегматичная реакция на возможный взлом их системы (который предоставил бы злоумышленникам доступ к аккаунтам миллионов пользователей) была бы совсем необъяснима.
Мы многократно обращались к МТС за информацией. На два запроса Козловского до сих пор ответа не последовало. Албурову компания сообщила, что «никаких действий по отключению услуг не производилось», что является прямой ложью.
В Твиттере МТС копипастит формулу про «целенаправленные действия» и издевательски «приносит искренние извинения» за единственный раз, когда её сотрудник сказал правду (а также обещает этого сотрудника наказать).
Это вранье, цель которого — запутать людей, не знакомых с ситуацией.
Во-первых, как мы уже знаем, отключение услуг производилось. Это подтверждается многочисленными доказательствами, ни одно из которых МТС не опровергает.
Во-вторых, нет оснований сомневаться в словах сотрудницы МТС, сообщившей, что отключение произвел отдел технологической безопасности. Выдумывать это ей смысла нет, а оговориться или ошибиться так просто невозможно. Очевидно, что действия отдела безопасности, по определению, целенаправленные, если исключить совсем комичные варианты типа пьяной оргии во время ночного дежурства, в ходе которой были случайно отключены сервисы именно у Козловского и Албурова.
В-третьиих, вирусная атака через телефоны Албурова и Козловского тоже невозможна. Для этого потребовалось бы одновременно дистанционно заразить iPhone Албурова и Samsung Galaxy Козловского — смартфоны на совершенно разных платформах, с собственным антивирусным софтом. Эти телефоны также никогда не бывали в руках силовиков, поэтому вариант «закладки» тоже не подходит.
Наконец, версия со взломом аккаунта через веб-интерфейс (вероятно, МТС имело в виду личный кабинет абонента) тоже не годится. Согласно логам, в него никто не входил перед или во время атаки. Думаем, в этом не сомневается и сама компания МТС, иначе их флегматичная реакция на возможный взлом их системы (который предоставил бы злоумышленникам доступ к аккаунтам миллионов пользователей) была бы совсем необъяснима.
Мы многократно обращались к МТС за информацией. На два запроса Козловского до сих пор ответа не последовало. Албурову компания сообщила, что «никаких действий по отключению услуг не производилось», что является прямой ложью.
В Твиттере МТС копипастит формулу про «целенаправленные действия» и издевательски «приносит искренние извинения» за единственный раз, когда её сотрудник сказал правду (а также обещает этого сотрудника наказать).
@kozlovsky, мы приносим искренние извинения. Оператор предоставил некорректную информацию. С сотрудником будет проведена работа. ^КЧ #МТС
— МТС Россия (@ru_mts) April 30, 2016
Мы утверждаем, что за атакой на Албурова и Козловского стоят российские спецслужбы. Все аргументы МТС об отсутствии манипуляций с услугами опровергнуты. Нет ни единой причины так покрывать хакеров, если только хакер — не само государство.
Что мы требуем от МТС
- Признать очевидные, задокументированные факты своего участия во взломе аккаунтов клиентов
- Опубликовать полную и точную информацию обо всех событиях, связанных со взломом
- Установить сотрудников компании, принимавших решения о незаконном доступе к пользовательским данным, кто бы это ни был, уволить их и передать информацию в правоохранительные органы
- Изменить свою политику, обеспечив прозрачность всех действий компании в отношении клиентов, чтобы подобные ситуации не могли повториться
- Извиниться, наконец
Мы понимаем, что инициатором этого взлома была не компания МТС. Но своим активным участием в нем, своей ложью и своим стремлением прикрыть взломщиков, МТС продемонстрировал полнейшее пренебрежение интересами клиентов. Мы хотим, чтобы другие операторы, когда к ним придут с такой же просьбой, 1000 раз подумали хотят ли они нести колоссальный репутационный ущерб и готовы ли они к массовому оттоку клиентов.
Мы считаем, что выбор, как отреагировать на просьбы людей в погонах, есть у всех.
Вопросы? Пишите на contact@mts-slil.info
