Един от потребителите "Авито" загуби 119 хиляди рубли, когато продава технологията си с помощта на авито-доставка. Разследването на жертвата показа, че услугата има критична уязвимост, поради което нападателите могат лесно да получат AVITO акаунт.
В края на 2020 г. потребителят "avito" alex.edt продаде на сайта набор от панели за корекция на цветовете за 119 хиляди рубли. Купувачът намери и предложи да издаде сделка чрез Avito-доставка, което е направено. Стоките бяха успешно доставени в града на получателя, той взе парцела и плати за поръчката.
Вечерта на същия ден жертвата се опита да влезе в Авито, но той не е успял - съобщава, че потребителят с такова влизане, телефонният номер и електронната поща до Avito просто не съществува. Заедно с по-запознат специалист по киберсигурността alex.edt, те проверяват мрежови трупи, пощенски трупи, IP адреси, време на разрешение за влизане, оператори за разговори и SMS, както и много други, но те не можах да намеря нищо посочи опитат да проникнат.
Техническата поддръжка "Avito" възстанови достъпа до сметката само на следващия ден и жертвата видя, че напълно външен телефонен номер е обвързан с сметката, която освен това не е потвърдена.
Разследването, проведено от жертвата, доведе до факта, че критичната уязвимост на услугата "Авито-доставка" е открита, с които нападателите могат лесно да имат достъп до всяка сметка.
Започнете описание на проблема, който стои с факта, че услугата Avito самостоятелно образува фактурата на Boxberry, която показва телефонния номер на продавача, свързан с авито, името на това, което е в парцела, както и пълната цена. В резултат на това, по време на движението на парцела, персонала на Boxberry и много други хора, участващи в логистични процеси, получават набор от поверителна информация, което им позволява да определят времето за доставка до точката на емисията, нейната стойност, телефонен номер на продавача:
Но има подобни практики в много транспортни компании, така че може да се счита за обичайно, но не и в случая с Авито. Проблемът е, че Avito има гласова услуга за техническа поддръжка (номер 8-800- и т.н.), където потребителят може да бъде идентифициран, ако просто повика телефонния номер, който е свързан с профила. След успешно разрешение в гласова техническа поддръжка с профил, можете да правите действия, включително промяна на имейл адреса.
За потенциални жертви (потребители на Avito), друг проблем е, че промяната на имейл адреса, използващ такъв метод, се извършва в "тихия режим" - няма известия на потребителя към стария имейл адрес няма да получат. Ето защо, ако потребителят за разрешение за Avito прилага пакет "телефонен номер + парола", тогава той не знае дали нейният имейл в сметката замени нарушителите.
Засегнатият потребител Alex.edt е успял да възстанови хронологията на събитията:
- Нападателите на 28 декември на 14.16 нарекли телефонен номер с фалшив идентификатор (повтарящи се номера в телефонния номер на Alex.edt) до поддръжката на Avito.
- В 14.17, офицерът за техническа поддръжка на Avito, следвайки одобрените разпоредби, провери телефонния номер на повикващия и го идентифицира като притежател на сметка.
- Нападателят поиска от служителя по техническата поддръжка да промени имейл адреса на друг (служителят не е причинил подозрение, въпреки че имейлът не се промени от 2011 г. и искането за промяна е заменено в деня на предполагаемото представяне на скъпата пратка с Avito-доставка):
- След успешната промяна на "Avito" изпраща уведомление, че имейл адресът се заменя успешно. Най-странното е, че уведомлението се изпраща само в новия имейл и нищо не идва на стария:
- В резултат на това нападателите (не без любезната помощ на служителите на служителите по техническа помощ "Авито") получиха всичко, което трябва да имате възможност да украсите парите.
- В 18.36 г. жертвата е получила известие, че парцелът дойде на емитирането на получателя. През 19.20 пакетът взе купувача:
- През 19.32 нападателите пускат паролата, като използват предварително променяния имейл и получават лесен достъп до сметката:
- Входът на профила се извършва с помощта на VPN (геолокация - България). Най-вероятно Avito изобщо няма система за управление на риска, или не работи така, както следва:
- В 19.34 г. нападателите премахват телефонния номер, който е свързан с акаунт в продължение на 9 години. SMS уведомление за това не идва. Смяната също се прави незабавно - без режим на готовност след няколко часа и т.н.
- През 19.51 г. Avito затваря сделката, измамниците получават позоваване на оттеглянето на средствата.
- През 19.52 г. измамниците отнемат 119 хиляди рубли от услугата:
Засегнатият потребител коментира, както следва, когато се случва: "най-много засяга най-вероятно на съществуването на такава уязвимост, въпреки факта, че интернет има огромен брой ролки, които нападателите могат да се обадят от фалшиви телефонни номера и как авито се отнася до този проблем. Техническа поддръжка "Авито" независимо предостави на измамниците пълен достъп до сметката, но представителите на услугата повториха само, че е необходимо да се измислят по-надеждна парола и да кажем на друга стандартна глупост, която няма нищо общо с проблема.
В резултат на дискусията позицията на услугата Avito остава същата - ние не знаем как сте били хакнати. Трябва да се разбира, че описаният по-горе метод е съответният - всяка сметка "Avito" може да бъде хакната с допълнителен въртящ момент. И всички използвани инструменти за информационна сигурност, потребителите няма да могат да издържат на тази уязвимост ":
По-интересен материал на cisoclub.ru. Абонирайте се за нас: Facebook | VK | Twitter | Instagram | Телеграма | Zen | Messenger | ICQ нов |. \ T YouTube | Импулс.