Один з користувачів «Авіто» втратив 119 тис. Рублів при продажу своєї техніки з використанням сервісу «Авіто-Доставка». Розслідування потерпілого показало, що сервіс має критичну вразливість, через яку зловмисники можуть без зусиль отримати доступ до будь-якого аккаунту «Авіто».
В кінці 2020 року користувач «Авіто» Alex.edt продавав на майданчику комплект панелей кольорокорекції за 119 тис. Рублів. Покупець знайшовся і запропонував оформити угоду через «Авіто-доставку», що і було зроблено. Товар був успішно доставлений в місто одержувача, то забрав посилку і оплатив замовлення.
Увечері того ж дня потерпілий спробував авторизуватися в «Авіто», але у нього нічого не вийшло - система повідомляла, що користувача з таким іменем, номером телефону та електронною поштою на «Авіто» просто не існує. Разом зі знайомим фахівцем з кібербезпеки Alex.edt перевірили мережеві логи, логи пошти, IP-адреси, час авторизаций, логи оператори зв'язку за дзвінками і СМС, а також багато іншого, але вони не змогли знайти нічого, що вказує на спробу злому.
Техпідтримка «Авіто» відновила доступ до облікового запису тільки на наступний день і потерпілий побачив, що до аккаунту прив'язаний зовсім стороння номер телефону, який, до того ж, не був підтверджений.
Проведене постраждалим розслідування привело до того, що була виявлена критична уразливість сервісу «Авіто-Доставка», за допомогою якої зловмисники можуть без зусиль отримати доступ до будь-якого аккаунту.
Почати опис проблеми варто з того, що сервіс «Авіто» самостійно формує накладну Boxberry, в якій вказується прив'язаний до аккаунту «Авіто» телефонний номер продавця, трек-номер, назва того, що знаходиться в посилці, а також повна вартість. В результаті цього в момент руху посилки співробітники Boxberry і багато інших людей, які беруть участь в логістичних процесах, отримують набір конфіденційної інформації, що дозволяє їм встановити час доставки посилки в пункт видачі, її цінність, телефонний номер продавця:
Але подібна практика є у багатьох транспортних компаній, тому її можна вважати звичайною, але не у випадку з «Авіто». Проблема полягає в тому, що Avito має сервіс голосового техпідтримки (номер 8-800- і т. Д.), На якому користувач може ідентифікуватися, якщо просто подзвонить з телефонного номера, який прив'язаний до аккаунту. Після успішної авторизації в голосовий техподдержке з профілем можна здійснювати будь-які дії, в тому числі і міняти електронну адресу.
Для потенційних жертв (користувачів «Авіто») ще одна проблема полягає в тому, що зміна електронної адреси облікового запису за допомогою такого способу виконується в «тихому режимі» - ніяких повідомлень користувач за старою адресою email не отримає. Тому, якщо користувач для авторизації на «Авіто» застосовує зв'язку «телефонний номер + пароль», то він і не дізнається, якщо його електронну пошту в акаунті змінили зловмисники.
Потерпілий користувач Alex.edt зміг відновити хронологію подій:
- Зловмисники 28 грудня в 14.16 подзвонили з номера телефону з підробленими ID (повторює цифри в телефонному номері користувача Alex.edt) в службу підтримки «Авіто».
- В 14.17 співробітник техпідтримки «Авіто», слідуючи затвердженим регламентом, перевірив телефонний номер абонента і ідентифікував його як власника облікового запису.
- Зловмисник попросив співробітника техпідтримки поміняти адресу електронної пошти на інший (у співробітника подібне не викликало підозр навіть незважаючи на те, що email потерпілого не змінювався з 2011 року, а запит на зміну надійшов в день передбачуваного вручення дорогою посилки з «Авіто-Доставка»):
- Після успішної зміни «Авіто» відправляє повідомлення про те, що електронну адресу успішно змінений. Найдивніше, що повідомлення відправляється тільки на новий email, а на старий нічого не приходить:
- В результаті зловмисники (не без люб'язною допомогою співробітників техпідтримки «Авіто») отримали все необхідне, щоб була можливість прикрасити гроші.
- В 18.36 потерпілий отримав повідомлення про те, що посилка прийшла в пункт видачі одержувача. О 19.20 посилку покупець забрав:
- О 19.32 зловмисники скидають пароль за допомогою зміненої раніше електронної пошти і отримують простий доступ до аккаунту:
- Вхід в профіль здійснюється з використанням VPN (геолокація - Болгарія). Швидше за все, що «Авіто» зовсім не має системи управління ризиками, або вона працює не так, як треба:
- В 19.34 зловмисники прибирають телефонний номер, який був прив'язаний до аккаунту протягом 9 років. СМС-повідомлення про це потерпілому не приходить. Зміна також проводиться відразу - без режиму очікування в кілька годин і т. П.
- В 19.51 «Авіто» закриває угоду, шахраї отримують посилання на виведення коштів.
- В 19.52 шахраї забирають 119 тис. Рублів з сервісу:
Потерпілий користувач наступним чином прокоментував те, що трапилося: «Найбільше вражає навіть не факт існування подібної уразливості, незважаючи на те що в інтернеті величезна кількість роликів про те, що зловмисники можуть дзвонити з підроблених телефонних номерів, а то, як сервіс« Авіто »відноситься до цієї проблемі. Техпідтримка «Авіто» самостійно надала шахраям повний доступ до аккаунту, але представники сервісу повторювали лише про те, що треба було вигадувати більш надійний пароль і розповідали іншу стандартну нісенітницю, яка не має ніякого відношення до проблеми.
В результаті обговорення позиція сервісу «Авіто» залишилася колишньою - ми не знаємо, як вас зламали. Треба розуміти, що описаний вище спосіб злому актуальний - кожна обліковий запис «Авіто» може бути зламана з подальшою крадіжкою грошових коштів. І будь-які засоби інформаційної безпеки, використовувані користувачів, не зможуть протистояти цій уразливості ":
Більше цікавого матеріалу на cisoclub.ru. Підписуйтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | дзен | Мессенджер | ICQ New | YouTube | Pulse.