Директор оператора сотовой связи Mitto продавал доступ к сетям компании

Директор оператора сотовой связи Mitto продавал доступ к сетям компании

Доступ к сетям Mitto получали частные компании и правительственные спецслужбы, которые шпионили за пользователями.

Соучредитель компании, которой Google и Twitter доверяют отправку кодов безопасности миллионам пользователей, вел секретный бизнес и помогал правительствам тайно отслеживать мобильные телефоны пользователей.

Mitto выступает в качестве стороннего поставщика услуг SMS для некоторых из крупнейших компаний технологической отрасли. Компания предлагает рекламные услуги, а также обеспечивает безопасную авторизацию в системы и двухфакторную аутентификацию для различных платформ с помощью текстовых сообщений с кодом безопасности. Mitto сотрудничает с десятками телекоммуникационных компаний и заключила контракты с Twitter, Google, WhatsApp, Telegram, TikTok, Instagram, LinkedIn и Slack.

По результатам расследования специалистов издания Bloomberg и некоммерческой организации Bureau of Investigative Journalism, Горелик продавал доступ к сетям компании частным предприятиям и спецслужбам для шпионажа за различными пользователями. Четыре бывших сотрудника Mitto и подрядчики ИБ-фирм, работавшие с Гореликом, подтвердили «побочный» бизенес руководителя. По словам бывших сотрудников Mitto, о слежке не знали ни клиенты компании, ни операторы мобильной связи. О существовании секретного сервиса было известно лишь небольшому количеству сотрудников компании. Горелик продавал доступ к сетям компаниям, предоставляющим услуги видеонаблюдения, которые, в свою очередь, заключили контракты с госорганами.

Доступ к глобальным телефонным сетям был обеспечен через уязвимости в телекоммуникационном протоколе SS7. Эксплуатация уязвимости в SS7 может позволить злоумышленнику отслеживать физическое местоположение определенных телефонов, а также перенаправлять текстовые сообщения и телефонные звонки.

Бывшие сотрудники по крайней мере одной компании (кипрской ИБ-фирмы TRG Research and Development) признали получение доступа к сетям Mitto через Горелика. Горелик лично установил программное обеспечение TRG для видеонаблюдения в сети Mitto, позволяя скрытно получить доступ к сети.

По словам информаторов, Горелик впервые начал продавать доступ к сетям Mitto в 2017 году.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!