Neznanec je poskušal vdreti v njegov račun ob pomoči prijavne kode, ki bi jo moral sam dobiti v obliki SMS-a na svojo telefonsko številko, a jo je namesto njega dobil spletni kriminalec. Če ne bi bil njegov račun zavarovan z dodatnim geslom, bi ga neznanec lahko zlorabil.

Množično prijavljanje zlorab

Septembra so se začele vrstiti prijave uporabnikov zaradi varnostnih incidentov na spletni platformi Telegram. Oškodovanci so poročali o profilih z njihovimi telefonskimi številkami in imeni, ki jih niso ustvarili sami. O tem so poročali tako uporabniki Telegrama kot tudi tisti, ki niso nikoli ustvarili računa na tej spletni platformi.

Ko želi nekdo registrirati svoj račun na Telegramu, je ta vezan na telefonsko številko, na katero Telegram pošlje vstopno kodo, tako imenovano enkratno geslo, s katerim lahko ustvarimo svoj račun. V primerih zlorab je nekdo registriral račune, ne da bi uporabniki, katerih telefonsko številko in ime je uporabil, prejeli prijavno kodo, kar pomeni, da je koda, ki bi morala prispeti na njihovo telefonsko številko, pristala nekje drugje. Kodo je očitno nekdo prestregel, in kot pravi Tadej Hren, so pri SI-CERT-u najprej pomislili, da imajo prizadeti uporabniki okužene telefone, vendar pa v tem primeru zlorabe ne bi bile vezane samo na spletno platformo Telegram. Prizadeti so bili uporabniki različnih androidnih telefonov in tudi iPhonov, pri katerih res redko odkrijejo viruse.

Na platformo Telegram se je prijavila telefonska številka ZZZS

To številko, prek katere zavarovanci naročamo evropsko kartico zdravstvenega zavarovanja, ima v svojem telefonskem imeniku tudi Tadej Hren, strokovnjak za spletno varnost pri SI-CERT-u, ki je tudi uporabnik Telegrama, zato je prejel obvestilo, da je naročniška številka ZZZS-ja ustvarila svoj profil na Telegramu. Ker se pri ZZZS-ju s to številko niso registrirali na platformo, je bilo varnostnim strokovnjakom jasno, da imaginarni računi na Telegramu ne nastajajo zaradi varnostnih napak uporabnikov oz. lastnikov telefonov.

Telefonske številke uporabnikov Telegrama se pojavijo na spletnem črnem trgu

Zanimivo je, da zlorabe niso vezane le na Slovenijo, pač pa jih zaznavajo tudi v drugih državah, a so v Sloveniji precej bolj pogoste in jim zato pri SI-CERT-u posvečajo več pozornosti. Neznanci so jih na črnem trgu prodajali za evro ali dva in strokovnjaki za spletno varnost so vzpostavili stik z njimi v vlogi kupcev. Dobili so obsežen seznam telefonskih številk iz različnih držav z vsega sveta in tudi na tem seznamu so slovenske telefonske številke prevladovale.

Uporabna vrednost ponarejenih uporabniških računov

Odgovora na to vprašanje strokovnjaki za spletno varnost še nimajo. Zanimivo je, da ti računi niso aktivni in da z njimi nihče nič ne počne, so pa v primeru prevzema že obstoječih računov storilci izbrisali vse stare podatke, pogovore in celo stike, ki so jih ustvarili izvorni lastniki. Še nikoli niso imeli primera, ko bi storilci poskušali vzpostaviti stik z že obstoječimi stiki uporabnika, ki so mu prevzeli račun, in jih tako poskušali prevarati, kar se sicer pri vdorih v račune pogosto dogaja.

Kako naj ukrepajo oškodovanci, ki ugotovijo, da je nekdo zlorabil njihove podatke?

Pri SI-CERT-u še ne poznajo vseh razsežnosti problematike, sami so dobili približno sto prijav, a vedo, da je to le vrh ledene gore. Ocenjujejo, da večina uporabnikov sploh ne ve, da se jim je kar koli zgodilo. Tisti, ki nimajo računa na platformi Telegram, sploh ne morejo vedeti, ali so njihovi podatki predmet zlorabe ali ne. O tem bi jih lahko obvestili le prijatelji in znanci, uporabniki Telegrama, ki imajo v svojih imenikih njihove telefonske številke in bi tako lahko opazili, da so se z njimi prijavili v platformo, saj Telegram o na novo ustvarjenih računih obvesti vse stike novinca.

Žrtve zlorabe lahko pri Telegramu zahtevajo izbris ponarejenega računa

Lastnik telefonske številke lahko prevzame zlorabljen račun, tako da sproži postopek registracije. Najprej kodo pošljejo v aplikacijo, v drugem koraku pa lahko uporabnik zahteva, da mu kodo pošljejo prek SMS-a ali klica. Tadej Hren pravi, da se včasih to ne zgodi takoj in da v tem primeru postopek naslednji dan ponovimo. Ko uporabnik vpiše zahtevano kodo, aplikacija Telegram zahteva še geslo, s katerim je ukradeni račun zaščitil spletni kriminalec. Na tej točki izberete možnost, da se račun po sedmih dneh ponastavi.

Nedejavna podpora uporabnikom

Pri Telegramu imajo na voljo nekaj uporabniških obrazcev, prek katerih lahko komuniciramo z njimi, njihova živa podpora pa praviloma ni dosegljiva. Pri SI-CERT-u od Telegrama, na katerega se pogosto obračajo z vprašanji, še nikoli niso dobili nobene povratne informacije. Podobne izkušnje imajo tudi uporabniki, s katerimi so v stiku. Najbrž bodo odslej številni uporabniki, ko bodo izvedeli za varnostna tveganja aplikacije Telegram, pozornejši na varnost svojih računov.

Vsi, ki bodo uporabniške račune obdržali, naj nujno poleg osnovne avtentikacije prek SMS-a vzpostavijo še dodatno geslo v nastavitvah predala. Poleg tega morajo biti previdnejši, ko opazijo, da želi nekdo vzpostaviti stik z njimi, tudi če je njegov stik v njihovem telefonskem imeniku. Čeprav človeka poznajo, namreč ni nujno, da je za njegovim uporabniškim profilom zares on.

Včasih je veljalo, da je Telegram ena bolje zavarovanih platform

Telegram je veljal za varno platformo, so pa imeli težave s šifriranjem komunikacije. Nekatere druge platforme imajo obvezno šifriranje komunikacije že privzeto, česar pa za Telegram ne moremo reči. Najbrž predvsem zato, ker je lažje aplikacijo nameščati na različne naprave in jo uporabljati na več telefonih, če pogovori niso šifrirani. Ta hip moramo vedeti, da je na platformi Telegram varnostna pomanjkljivost, ki je na drugih platformah ne zaznavamo, in to velja upoštevati. Komunikacijske platforme Signal, Viber in WhatsApp komunikacijo dosledno šifrirajo.

Varnostnim težavam, povezanim s Telegramom, pri SI-CERT-u še niso prišli do dna

To se je doslej kdaj zgodilo le pri posamičnih primerih, množične zlorabe podatkov pa so na koncu vedno razrešili. Domnevajo, da imajo spletni kriminalci v tem primeru dostop do zaledja platforme ali do sistema, ki ga Telegram uporablja za pošiljanje SMS-ov, žal pa še niso ugotovili, kje natančno pride do njihovega prestrezanja.

Preverimo, ali obstaja na Telegramu lažen profil na podlagi naše telefonske številke

Tadej Hren pravi, da to najhitreje preverimo prek prijatelja ali znanca, ki je uporabnik Telegrama in lahko poišče naš profil po imenu in priimku ali telefonski številki. Če pa ste sami uporabnik Telegrama, preverite, ali svoj račun še lahko nadzorujete, in čim prej namestite dodatno zaščito z geslom.

Račun na Telegramu je odprla v izobraževalne namene in postala žrtev zlorabe

Kolegica Urška Henigman je od sodelavcev izvedela, da je na njeno ime in telefonsko številko odprt račun na spletni platformi Telegram s profilno fotografijo, ki ni njena. Zanimivo je, da se kot novinarka ukvarja tudi s spletno varnostjo, zato se je takoj obrnila na SI-CERT, kjer so ji povedali, da je ena izmed številnih in da naj pri Telegramu zahteva izbris oziroma popravek računa, kar je tudi storila.

Prav ironično se ji zdi, da je račun na Telegramu odprla v izobraževalne namene na delavnici Bellingcata, kjer so spletno platformo Telegram obravnavali kot enega glavnih prostorov širjenja dezinformacij in propagande, za zlorabo svojega računa pa je izvedela v tednu, ko zaznamujemo evropski dan varstva osebnih podatkov. Udeleženci delavnice so se v Telegram prijavili zaradi spoznavanja ekosistema spletne platforme in po izobraževanju je izbrisala aplikacijo iz telefona, ni pa izbrisala profila. Ta profil ji je, kot še številnim drugim, nato prevzel spletni kriminalec, ki je očitno zaobšel sistem verifikacije prek SMS-a ter nastavil dodatno preverjanje z geslom, ki ga je določil sam. Tako uporabnik in lastnik telefonske številke, s katero se prijavi v spletno platformo, izgubi nadzor nad svojim računom na Telegramu.

Urška Henigman je o pravnih možnostih, ki jih ima žrtev zlorabe, od informacijske pooblaščenke Jelene Virant Burnik izvedela, da ob neukrepanju Telegrama lahko kot državljanka Evropske unije, ki jo ščiti GDPR, svojo pot s pritožbami nadaljuje na sodišču. Medtem je Urški Henigman po sedmih dneh od zahteve po ponastavitvi računa le-tega uspelo ponastaviti in zapreti.