Адзін з карыстальнікаў «Авіта» страціў 119 тыс. Рублёў пры продажы сваёй тэхнікі з выкарыстаннем сэрвісу «Авіта-Дастаўка». Расследаванне пацярпелага паказала, што сэрвіс мае крытычную ўразлівасць, з-за якой зламыснікі могуць без працы атрымаць доступ да любога акаўнта «Авіта».
У канца 2020 года карыстач «Авіта» Alex.edt прадаваў на пляцоўцы камплект панэляў колеракарэкцыя за 119 тыс. Рублёў. Пакупнік знайшоўся і прапанаваў аформіць здзелку праз «Авіта-дастаўку», што і было зроблена. Тавар быў паспяхова дастаўлены ў горад атрымальніка, то забраў пасылку і аплаціў заказ.
Увечары таго ж дня пацярпелы паспрабаваў аўтарызавацца у «Авіта», але ў яго нічога не атрымалася - сістэма паведамляла, што карыстальніка з такім лагінам, нумарам тэлефона і электроннай поштай на «Авіта» проста не існуе. Разам са знаёмым спецыялістам па кібербяспецы Alex.edt праверылі сеткавыя логі, логі пошты, IP-адрасы, час аўтарызацыі, логі аператары сувязі па званках і СМС, а таксама многае іншае, але яны не змаглі знайсці нічога, паказваў на спробу ўзлому.
Тэхпадтрымка «Авіта» аднавіла доступ да ўліковага запісу толькі на наступны дзень і пацярпелы ўбачыў, што да акаўнта прывязаны цалкам старонні нумар тэлефона, які, да таго ж, не быў пацверджаны.
Праведзенае пацярпелым расследаванне прывяло да таго, што была выяўленая крытычная ўразлівасць сэрвісу «Авіта-Дастаўка», з дапамогай якой зламыснікі могуць без працы атрымаць доступ да любога акаўнта.
Пачаць апісанне праблемы стаіць з таго, што сэрвіс «Авіта» самастойна фармуе накладную Boxberry, у якой паказваецца прывязаны да акаўнта «Авіта» тэлефонны нумар прадаўца, трэк-нумар, назву таго, што знаходзіцца ў пасылцы, а таксама поўная кошт. У выніку гэтага ў момант руху пасылкі супрацоўнікі Boxberry і многія іншыя людзі, якія ўдзельнічаюць у лагістычных працэсах, атрымліваюць набор канфідэнцыйнай інфармацыі, што дазваляе ім усталяваць час дастаўкі пасылкі ў пункт выдачы, яе каштоўнасць, тэлефонны нумар прадаўца:
Але падобная практыка ёсць у шматлікіх транспартных кампаній, таму яе можна лічыць звычайнай, але не ў выпадку з «Авіта». Праблема складаецца ў тым, што Avito мае сэрвіс галасавой тэхпадтрымкі (нумар 8-800- і т. Д.), На якім карыстальнік можа ідэнтыфікавацца, калі проста патэлефануе з тэлефоннага нумара, які прывязаны да акаўнта. Пасля паспяховай аўтарызацыі ў галасавой тэхпадтрымцы з профілем можна здзяйсняць любыя дзеянні, у тым ліку і змяняць электронны адрас.
Для патэнцыйных ахвяр (карыстальнікаў «Авіта») яшчэ адна праблема складаецца ў тым, што змена электроннага адрасу акаўнта з дапамогай такога спосабу выконваецца ў «ціхім рэжыме» - ніякіх апавяшчэнняў карыстальнік на стары адрас email не атрымае. Таму, калі карыстальнік для аўтарызацыі на «Авіта» прымяняе звязак «тэлефонны нумар + пароль», то ён і не даведаецца, калі яго электронную пошту ў запісе змянілі зламыснікі.
Пацярпелы карыстальнік Alex.edt змог аднавіць храналогію падзей:
- Зламыснікі 28 снежня ў 14.16 патэлефанавалі з нумара тэлефона з падробленым ID (паўтаралым лічбы ў тэлефонным нумары карыстальніка Alex.edt) у службу падтрымкі «Авіта».
- У 14.17 супрацоўнік тэхпадтрымкі «Авіта», вынікаючы зацверджаным рэгламентам, праверыў тэлефонны нумар таго, хто тэлефануе і ідэнтыфікаваў яго як ўладальніка ўліковага запісу.
- Зламыснік папрасіў супрацоўніка тэхпадтрымкі памяняць адрас электроннай пошты на іншы (у супрацоўніка падобнае не выклікала падазрэнняў нават нягледзячы на тое, што email пацярпелага не мяняўся з 2011 года, а запыт на змену паступіў у дзень меркаванага ўручэння дарагі пасылкі з «Авіта-Дастаўка»):
- Пасля паспяховай змены «Авіта» адпраўляе апавяшчэнне пра тое, што электронны адрас паспяхова зменены. Самае дзіўнае, што паведамленне адпраўляецца толькі на новы email, а на стары нічога не прыходзіць:
- У выніку зламыснікі (не без ветлівай дапамогі супрацоўнікаў тэхпадтрымкі «Авіта») атрымалі усё неабходнае, каб была магчымасць упрыгожыць грошы.
- У 18.36 пацярпелы атрымаў апавяшчэнне пра тое, што пасылка прыйшла ў пункт выдачы атрымальніка. У 19.20 пасылку пакупнік забраў:
- У 19.32 зламыснікі скідаюць пароль з дапамогай змененай раней электроннай пошты і атрымліваюць просты доступ да акаўнта:
- Уваход у профіль ажыццяўляецца з выкарыстаннем VPN (геолокация - Балгарыя). Хутчэй за ўсё, што «Авіта» зусім не мае сістэмы кіравання рызыкамі, альбо яна працуе не так, як трэба:
- У 19.34 зламыснікі прыбіраюць тэлефонны нумар, які быў прывязаны да акаўнта на працягу 9 гадоў. СМС-паведамленне пра гэта пацярпеламу не прыходзіць. Змена таксама вырабляецца адразу - без рэжыму чакання ў некалькі гадзін і т. П.
- У 19.51 «Авіта» закрывае здзелку, ашуканцы атрымліваюць спасылку на выснову сродкаў.
- У 19.52 ашуканцы забіраюць 119 тыс. Рублёў з сэрвісу:
Пацярпелы карыстальнік наступным чынам пракаментаваў тое, што здарылася: «Больш за ўсё дзівіць нават не факт існавання падобнай уразлівасці, нягледзячы на тое што ў інтэрнэце вялізная колькасць ролікаў аб тым, што зламыснікі могуць званіць з падробных тэлефонных нумароў, а то, як сэрвіс« Авіта »ставіцца да гэтай праблеме. Тэхпадтрымка «Авіта» самастойна прадаставіла ашуканцам поўны доступ да акаўнта, але прадстаўнікі сэрвісу паўтаралі толькі аб тым, што трэба было прыдумляць больш надзейны пароль і распавядалі іншую стандартную лухту, якая не мае ніякага дачынення да праблемы.
У выніку абмеркавання пазіцыя сэрвісу «Авіта» засталася ранейшай - мы не ведаем, як вас ўзламалі. Трэба разумець, што апісаны вышэй спосаб узлому актуальны - кожная уліковы запіс «Авіта» можа быць ўзламаная з далейшай крадзяжом грашовых сродкаў. І любыя сродкі інфармацыйнай бяспекі, якія выкарыстоўваюцца карыстальнікаў, не змогуць супрацьстаяць гэтай уразлівасці ":
Больш цікавага матэрыялу на cisoclub.ru. Падпісвайцеся на нас: Facebook | VK | Twitter | Instagram | Telegram | дзэн | мессенджер | ICQ New | YouTube | Pulse.