Een van die gebruikers "Avito" het 119 duisend roebels verloor toe hulle hul tegnologie verkoop het met behulp van avito-afleweringsdiens. Die ondersoek van die slagoffer het getoon dat die diens 'n kritiese kwesbaarheid het, waardeur die aanvallers maklik toegang tot enige avito-rekening kan kry.
Aan die einde van 2020, die gebruiker "Avito" Alex.Edt verkoop op die webwerf 'n stel kleur regstelling panele vir 119 duisend roebels. Die koper het gevind en aangebied om 'n ooreenkoms uit te reik deur avito-aflewering, wat gedoen is. Die goedere is suksesvol aan die stad van die ontvanger gelewer, hy het die pakkie geneem en vir die bestelling betaal.
In die aand van dieselfde dag het die slagoffer probeer om aan te meld by Avito, maar hy het nie geslaag nie - die stelsel het berig dat die gebruiker met so 'n inskrywing, die telefoonnommer en e-pos aan Avito eenvoudig nie bestaan nie. Saam met 'n bekende spesialis in die kuberekuriteit van Alex.edt, het hulle netwerklogboeke, poslogboeke, IP-adresse, Magtigingstyd, Login-operateurs vir oproepe en SMS nagegaan, sowel as baie meer, maar hulle kon niks vind om te probeer hack nie.
Die tegniese ondersteuning "Avito" het die volgende dag toegang tot die rekening herstel en die slagoffer het gesien dat 'n heeltemal buitensporige telefoonnommer aan die rekening gekoppel is, wat ook nie bevestig is nie.
Die ondersoek wat deur die slagoffer gedoen is, het gelei tot die feit dat die kritiese kwesbaarheid van die avito-afleweringsdiens ontdek is, waarmee aanvallers maklik enige rekening kan kry.
Begin 'n beskrywing van die probleem wat staan met die feit dat die AVITO-diens onafhanklik die Boxberry-faktuur vorm, wat die telefoonnommer van die verkoper aan die AVITO-rekening aangepas het, die naam van wat in die pakkie is, asook die volle koste. As gevolg hiervan, ten tyde van die beweging van die pakkie, Boxberry personeel en baie ander mense wat deelneem aan logistieke prosesse ontvang 'n stel vertroulike inligting, wat hulle in staat stel om die afleweringstyd aan die uitreikpunt te stel, die waarde daarvan, telefoonnommer van die verkoper:
Maar daar is soortgelyke praktyke in baie vervoermaatskappye, dus dit kan as gewoonlik beskou word, maar nie in die geval van Avito nie. Die probleem is dat AVITO 'n stem tegniese ondersteuningsdiens het (nommer 8-800-, ens.), Waar die gebruiker geïdentifiseer kan word as dit net die telefoonnommer noem wat aan die rekening gekoppel is. Na suksesvolle magtiging in stem tegniese ondersteuning met 'n profiel, kan u enige aksies maak, insluitend die verandering van die e-posadres.
Vir potensiële slagoffers (Avito-gebruikers) is 'n ander probleem dat die verandering van e-posadres met behulp van so 'n metode in die "stil modus" uitgevoer word - geen kennisgewings van die gebruiker na die ou e-posadres sal nie ontvang nie. Daarom, as die gebruiker vir magtiging op Avito 'n "telefoonnommer + wagwoord" -bundel van toepassing is, weet dit nie of sy e-pos in die rekening die indringers vervang het nie.
Die geaffekteerde gebruiker Alex.Edt was in staat om die kronologie van gebeure te herstel:
- Die aanvallers op 28 Desember om 14.16 het die telefoonnommer met die valse ID (herhalende getalle in die telefoonnommer van Alex.Edt) aan AVITO-ondersteuning genoem.
- Om 14.17, Avito Tegniese Ondersteuningsbeampte, na aanleiding van die goedgekeurde regulasies, die telefoonnommer van die oproeper nagegaan en dit as 'n rekeninghouer geïdentifiseer.
- Die aanvaller het die tegniese ondersteuningsbeampte gevra om die e-posadres na 'n ander te verander (die werknemer het nie vermoedens veroorsaak nie, alhoewel e-pos nie sedert 2011 verander het nie, en die versoek om 'n verskuiwing is vervang op die dag van die beweerde aanbieding van die duur pakkie met Avito-aflewering):
- Na die suksesvolle verandering van "Avito" stuur 'n kennisgewing dat die e-posadres suksesvol vervang word. Die vreemdste ding is dat die kennisgewing slegs aan die nuwe e-pos gestuur word, en niks kom by die ou nie:
- As gevolg hiervan het die aanvallers (nie sonder die soort hulp van werknemers van die tegniese ondersteuningsbeamptes "Avito") alles wat jy nodig het om die geld te versier nie.
- Om 18.36 het die slagoffer 'n kennisgewing ontvang dat die pakkie tot die ontvanger se uitreiking gekom het. In 19.20 het die pakket die koper geneem:
- In 19.32 laat aanvallers die wagwoord terug deur die voorheen aangepaste e-pos te gebruik en maklike toegang tot die rekening te kry:
- Die profielinvoer word uitgevoer met behulp van VPN (Geolocation - Bulgarye). Heel waarskynlik, Avito het glad nie 'n risikobestuurstelsel nie, of dit werk nie soos dit behoort te wees nie:
- Om 19.34 verwyder aanvallers die telefoonnommer wat vir 9 jaar aan die rekening gekoppel is. SMS-kennisgewing oor hierdie beseerde kom nie. Die verskuiwing word ook onmiddellik gemaak - sonder bystandsmodus in 'n paar uur, ens.
- In 19.51 sluit Avito die transaksie, bedrieërs kry 'n verwysing na die onttrekking van fondse.
- In 19.52 neem bedrieërs 119 duisend roebels van die diens:
Die geaffekteerde gebruiker het soos volg gesê: "Die meeste beïnvloed die meeste van die bestaan van so 'n kwesbaarheid, ten spyte van die feit dat die internet 'n groot aantal rolle het wat aanvallers van valse telefoonnommers kan bel, en hoe die AVITO-diens Verwys na hierdie probleem. Tegniese ondersteuning "Avito" onafhanklik verskaf bedrieërs volle toegang tot die rekening, maar die diensverteenwoordigers het net herhaal dat dit nodig was om 'n meer betroubare wagwoord uit te vind en 'n ander standaard onzin te hê, wat niks met die probleem gehad het nie.
As gevolg van die bespreking het die posisie van die AVITO-diens dieselfde gebly - ons weet nie hoe jy gehack is nie. Dit moet verstaan word dat die bogenoemde metode die relevante is - elke rekening "Avito" kan met verdere wringkrag gehack word. En enige inligting sekuriteit gereedskap wat gebruik word, sal gebruikers nie in staat wees om hierdie kwesbaarheid te weerstaan nie ":
Meer interessante materiaal op cisoclub.ru. Teken in op ons: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NUUS | YouTube | Pols.