Скандал вокруг Megamama.ua: Юристы рассказали, кто должен оплатить разговоры хакеров
Несколько дней назад на AIN.UA выходил материал про взлом call-центра интернет-магазина Megamama.ua. Речь шла о том, что хакеры получили доступ к настройкам call-центра магазина и через IP-телефоны за ночь совершили ряд звонков за рубеж на общую сумму в 165 тыс грн. Директор Megamama.ua Борис Факторович отказался оплачивать счет, выставленный днепропетровским провайдером «Телемост», мотивируя это тем, что звонки совершали не они, следовательно, платить они не обязаны.
В свою очередь, «Телемост» уже заплатил «Киевстару», который предоставляет им выход на международную связь, 145 тыс грн за эти разговоры и сейчас намерен отсудить эту сумму у Факторовича. Мы попросили юристов прокомментировать ситуацию и оценить перспективы сторон в судебном разбирательстве. Отвечает старший юрист практики IT и медиа права АО Юскутум Михаил Пергаменщик.
Мы имеем дело с классической схемой хакинга, которая была художественно описана Кевином Митником в его мемуарах. С появлением первых хакеров в конце прошлого века и до сегодняшнего дня выявление злоумышленников не стало легкой задачей для правоохранительных органов, а телекоммуникационные компании все еще не могут похвастаться железобетонной защитой.
Начнем с того, что согласно Закона «О телекоммуникациях» операторы обязаны принимать меры по защите и по по недопущению несанкционированного доступа к своим телекоммуникационным сетям. Как мы понимаем, злоумышленники взломали клиентское оборудование, которое абонент самостоятельно устанавливал и настраивал.
Было бы нелогично возлагать на провайдера телекоммуникационных услуг или оператора, владеющего сетью, ответственность за исправность и защищенность конечного оборудования абонента.
Также, запрос, полученный оборудованием провайдера от конечного оборудования абонента, нельзя считать несанкционированным вторжением в сеть первого, поскольку использование этого конечного оборудования изначально предусмотрено договором между абонентом и провайдером. Следовательно, когда от такого конечного оборудования приходит запрос на оборудование провайдера, у последнего нет правовых оснований отказывать в запрашиваемом соединении. Исключением может быть ситуация, когда между провайдером и абонентом есть договоренность о каких-либо ограничениях, например отрицательного баланса, длительности звонков или их направлений. К примеру, статья 32 Закона предусматривает право абонента на ограничение оператором, провайдером доступа абонента к отдельным видам услуг на основании письменного заявления последнего.
В свою очередь, у абонента в отношении провайдера существуют определенные обязанности касательно его конечного оборудования. Согласно статье 33 Закона, именно абонент обязан не допускать использование конечного оборудования для противоправных действий и несанкционированного доступа к телекоммуникационной сети.
Со сложившейся ситуацией можно провести аналогию: вор украл у абонента мобильный телефон и без его ведома совершил звонки на большую сумму денег, после чего абонент заявил о случившемся оператору мобильной связи. Оператор не может достоверно знать, в какой момент времени телефоном начал пользоваться вор, поэтому все-равно выставит счет абоненту, а последний будет вынужден взыскивать эти расходы с вора в порядке регресса.
Говоря юридическим языком, в таком случае абоненту нужно написать в милицию заявление о краже телефона, и когда вора найдут и заведут на него уголовное дело, взыскать с последнего сумму оплаченного счета оператора путем подачи гражданского иска в уголовном процессе.
Но в этой ситуации есть и обратная сторона медали. Вполне логично ожидать от оператора, что он является осведомлённым о распространенных схемах мошенничества (в т.ч. IP fraud) и их признаках (длительность звонков, их направление, время соединения и т.п.). В результате, абоненту логично ожидать получение телекоммуникационных услуг на должном уровне с учетом этих знаний.
К примеру, согласно статье 32 Закона абонент имеет право на безопасность телекоммуникационных услуг. Это положение можно толковать и таким образом, что провайдер обязаны внедрять по своей части такие меры безопасности, которые были бы адекватными уязвимостям и проблемам, хорошо известным в данной индустрии, так называемые «передовые практики» («best practices»).
В таком же духе можно толковать и ранее упомянутую обязанность операторов принимать меры по недопущению несанкционированного доступа к своим телекоммуникационным сетям. В таком случае, можно говорить о том, что организационные и технические меры по предотвращению явно мошеннических схем должны входить в понятие надлежащего качества телекоммуникационных услуг.
Напоследок можно сказать, что выбор судом той или иной позиции может зависеть, в частности, от технических нюансов совершенной хакерской атаки на конечное оборудование абонента.
Комментарии | 26
а как доказан факт взлома ? где доказательства что оператор не злоумышленно отдал логины и пароли клиента хакерам и при этом открыл звонки на международные направления ?
Насколько я понял из комментариев к предыдущей статье (в то м числе и от пострадавшего), звонки шли мимо его АТС с иностранных IP.
Тот случай, когда оператор должен явно озаботится отловом фрода.
Поддержу, статья ни о чём.
да, я тоже это понял. История говорит что они типа взломали их внутреннюю айпиАТС и стащили из нее логины/пароли после чего подключились к провайдеру. Интерестно как зарегестрирован факт взлома айпиАТС.
у нас по логам видно…
ок, не думаю что такого признания от вас кто то требовал, но раз вы уже всем рассказали то так тому и быть.
мы честны, компьютер был выключен в тот же день для экспертизы уголовного дела , в нем все видно
нам нечего скрывать
Борис, а вы как частное лицо подключались?
Не хотите попробовать на основании Закона о защите прав потребителей подать иск о предоставлении телеком услуг ненадлежащего качества? Посоветуйтесь с Вашим юристом в этом вопросе.
P.S. подача такого иска от имени частного лица освобождает от сплаты Держмита.
ок , спасибо — возьмем на вооружение
И еще один нюанс, мой провайдер IP-телефонии, предоставляющий доступ к городским номерам явно блокирует использование услуг с IP адресов не принадлежащих к территории географического кода.
Попробуйте основываясь на этом принципе подать жалобу в НКРЗ с мотивацией:
— провайдер предоставил доступ к вашим городским (я правильно понимаю?) номерам из-за пределов географической зоны (нарушение условий лицензии?)
— нанёс таким образом вам прямые убытки (приостановление обслуживания) и косвенные (ущерб деловой репутации)
В любом случае нужно изучить лицензии и другие документы, регулирующие этот момент.
Согласен! Качество услуг предполагает превентивные меры со стороны телеком оператора. Об этом писалось в конце статьи
1. Так комментарий юристОВ или юристА?
2. Так кто всё-таки должен платить по закону (статья же для этого написана, правда, а не для рекламы услуг юриста?)? А то по тексту складывается впечатление, что это зависит от того, кто первым договорится с судьёй.
Статья ни о чем. Обычно платит абонент или долго тягаются с оператором.
надо смотреть договор между абоном и оператором.
если в договоре международка не была прописана, можно зацепиться.
Харекы же явно не бабушкам в Америку назвонили на 165 тысяч за ночь? Это, очевидно, были некие очень платные номера в Белизе каком-нибудь. А это явно мошенническая схема, с которой провайдеры между собой должны разбираться.
Сливаю инсайд: на Остров Святой Елены 🙂
подтверждаю
Наполеона вызванивали.
а вы сотрудник Телемоста?
Живущий на Острове Святой Елены, взламывающий чужие call-центры и звонящий сам себе от одиночества. Я разве не говорил раньше?
Юрист писал под диктовку компании-заказчика. Заказчик — явно Телемост. Точно могу сказать, что виновен Провайдер, т.к. в его обязанности входило уведомить Абонента о возможных рисках. Он не уведомил, а договором это явно не предусмотрено, т.к. договор на одной странице (болванка типовая). Значит, виновен тот, кто дал возможность хакерам для доступа в свои сети. Дело для Интерпола и нераскрытое для ментов Украины. Потребитель Украины (согласно ЗУ «О защите прав потребителй») должен быть уведомлен о всех возможных ситуациях в будущем. Граждане, будьте бдительны.
В интерпол мы уже пишем!
Юрист писал в ответ на нашу просьбу прокомментировать обстоятельства дела. Везде вам черные кошки мерещатся…
Юрист писал от балды , не вникнув в суть вопроса
>Как мы понимаем, злоумышленники взломали клиентское оборудование, которое абонент >самостоятельно устанавливал и настраивал.
Чо сам купил, установил и настроил? Кабель тоже протащил и обжал?
Точно звонки происходили через оборудование у клиента, или просто склонили параметры оборудования и подключили в другом месте?
P.S. А если взломали через разъем обжатый сотрудниками провайдера? (с) 🙂
Так юрист вроде написал в конце, что Телемост должен был знать о таком взломе и внедрить соотв. меры безопасности, обезопасив клиента
Юрист по ходу не стал блистать своим профессионализмом и высказался многозначительно — и Вы молодцы и они молодцы. Такие пустозвонские статьи можно пачками ежечасно выдавать (И Витя прав и Юлечка не виновата…) и потом толочь воду в ступе сколько душенька желает. О чем статья то?