فقدت واحدة من المستخدمين "Avito" 119 ألف روبل عند بيع تكنولوجياهم باستخدام خدمة توصيل Avito. أظهر التحقيق في الضحية أن الخدمة لديها مشكلة في الضعف الحرج، بسبب أي مهاجمين يمكنهم الوصول بسهولة إلى أي حساب Avito.
في نهاية عام 2020، تم بيع المستخدم "Avito" alex.edt في الموقع مجموعة من لوحات تصحيح الألوان لمدة 119 ألف روبل. وجد المشتري وعرضه لإصدار صفقة من خلال تسليم Avito، الذي تم القيام به. تم تسليم البضائع بنجاح إلى مدينة المستلم، أخذ الطرود ودفع النظام.
في المساء من نفس اليوم، حاول الضحية تسجيل الدخول إلى Avito، لكنه لم ينجح - أبلغ النظام أن المستخدم مع مثل هذا تسجيل الدخول، ورقم الهاتف والبريد الإلكتروني إلى Avito ببساطة غير موجود. جنبا إلى جنب مع أخصائي مألوف في الأمن السيبراني Alex.edt، فقد فحصوا سجلات الشبكة وسجلات البريد وعناوين IP ووقت التفويض ومشغلي تسجيل الدخول للمكالمات والرسائل النصية القصيرة، وكذلك أكثر من ذلك بكثير، لكنهم لم يتمكنوا من العثور على أي شيء يشير في محاولة الاختراق.
استعادة الدعم الفني "Avito" الوصول إلى الحساب فقط في اليوم التالي والضحية رأى أن رقم هاتف غالب تماما مرتبط بالحساب، والذي لم يتم تأكيده، علاوة على ذلك.
أدى التحقيق الذي أجراه الضحية إلى حقيقة أنه تم اكتشاف التعرض الحرج لخدمة توصيل AVITO، حيث يمكن للمهاجمين الوصول بسهولة إلى أي حساب.
ابدأ تشغيل وصف للمشكلة الوظيفة مع حقيقة أن خدمة Avito تشكل مستقل فاتورة BoxBerry بشكل مستقل، مما يشير إلى رقم هاتف البائع المرتبط بحساب Avito، اسم ما هو في الطرد، وكذلك التكلفة الكاملة. نتيجة لذلك، في وقت حركة الطرود، يتلقى موظفو Boxberry، والعديد من الأشخاص الآخرين المشاركين في العمليات اللوجستية مجموعة من المعلومات السرية، والتي تسمح لهم بضبط وقت التسليم إلى نقطة المسألة، وقيمتها، رقم الهاتف من البائع:
ولكن هناك ممارسات مماثلة في العديد من شركات النقل، لذلك يمكن اعتبارها المعتادة، ولكن ليس في حالة Avito. المشكلة هي أن AVITO لديه خدمة دعم تقنية صوتية (رقم 8-800-، إلخ)، حيث يمكن تحديد المستخدم إذا استدعي ببساطة رقم الهاتف المرتبط بالحساب. بعد إذن ناجح في الدعم الفني الصوتي مع ملف تعريف، يمكنك إجراء أي إجراءات، بما في ذلك تغيير عنوان البريد الإلكتروني.
بالنسبة للضحايا المحتملين (مستخدمي Avito)، هناك مشكلة أخرى هي أن تغيير عنوان البريد الإلكتروني باستخدام هذه الطريقة يتم تنفيذ هذه الطريقة في "الوضع الهادئ" - لن تتلقى أي إعلامات للمستخدم لعنوان البريد الإلكتروني القديم. لذلك، إذا كان المستخدم الخاص بالترخيص على Avito ينطبق على حزمة "رقم الهاتف + كلمة المرور"، فلا تعرف ما إذا كانت بريدك الإلكتروني في الحساب استبدال المتسللين.
كان المستخدم المتضرر Alex.edt قادرا على استعادة التسلسل الزمني للأحداث:
- يسمى المهاجمون في 28 ديسمبر عند 14.16 رقم الهاتف مع الهوية المزيفة (الأرقام المتكررة في رقم هاتف Alex.edt) إلى دعم Avito.
- عند 14.17، قام مسؤول الدعم الفني AVITO، بعد اللوائح المعتمدة، بفحص رقم هاتف المتصل وتحديده كصاحب حساب.
- طلب المهاجم من ضابط الدعم الفني لتغيير عنوان البريد الإلكتروني إلى آخر (لم يسبب الموظف الشك على الرغم من أن البريد الإلكتروني لم يتغير منذ عام 2011، وتم استبدال طلب تحول في يوم العرض المزعوم للطرد باهظة الثمن avito التسليم):
- بعد التغيير الناجح في "Avito" يرسل إشعارا يتم استبدال عنوان البريد الإلكتروني بنجاح. أغرب شيء هو أن الإخطار يتم إرساله فقط إلى البريد الإلكتروني الجديد، ولا شيء يأتي إلى القديم:
- نتيجة لذلك، حصلت المهاجمون (ليسوا دون مساعدة الكريمة على موظفي الموظفين الدعم الفني "Avito") كل ما تحتاج إليه للحصول على فرصة لتزيين الأموال.
- في 18.36، تلقت الضحية إشعارا بأن الطرد جاء إلى إصدار المستلم. في 19.20، استغرقت الحزمة المشتري:
- في 19.32، يسقط المهاجمون كلمة المرور باستخدام البريد الإلكتروني المعدل سابقا والحصول على سهولة الوصول إلى الحساب:
- يتم إجراء إدخال ملف التعريف باستخدام VPN (تحديد الموقع الجغرافي - بلغاريا). على الأرجح، لا يحتوي Avito على نظام لإدارة المخاطر، أو أنه لا يعمل كما ينبغي:
- في 19.34، يقوم المهاجمون بإزالة رقم الهاتف، الذي تم ربطه بالحساب لمدة 9 سنوات. إشعار الرسائل القصيرة حول هذا المصاب لا يأتي. يتم إجراء التحول أيضا على الفور - دون وضع الاستعداد في عدة ساعات، إلخ.
- في 19.51، يغلق Avito المعاملة، والحتالين الحصول على إشارة إلى سحب الأموال.
- في 19.52، يستغرق المحتالون 119 ألف روبل من الخدمة:
علق المستخدم المتضررين على النحو التالي: "يؤثر معظمهم على الأرجح من وجود هذه الضعف، على الرغم من حقيقة أن الإنترنت لديه عدد كبير من الأسطوانة التي يمكن للمهاجمين الاتصال بها من أرقام الهواتف المزيفة، وكيفية خدمة AVITO يشير إلى هذه المشكلة. الدعم الفني "AVITO" قدم "Avito" بشكل مستقل إلى المحتال الوصول الكامل إلى الحساب، لكن ممثلي الخدمة يكررون فقط أنه كان من الضروري اختراع كلمة مرور أكثر موثوقية وأبلغت هراء قياسي آخر، الذي لا علاقة له بالمشكلة.
نتيجة للمناقشة، ظل موقع خدمة Avito هو نفسه - لا نعرف كيف تم اختراقك. يجب أن يفهم أن الطريقة الموضحة أعلاه هي ذات الصلة - يمكن اختراق كل حساب "Avito" مع عزم الدوران الإضافي. وأي أدوات أمن المعلومات المستخدمة، لن يكون المستخدمون قادرين على تحمل هذه الثغرة الأمنية ":
مواد أكثر إثارة للاهتمام على cisoclub.ru. اشترك في الولايات المتحدة: Facebook | VK |. تويتر | Instagram |. برقية |. زن |. رسول |. ICQ جديد | يوتيوب | نبض.