Avito-Dis ডেলিভারি পরিষেবাটি ব্যবহার করে তাদের প্রযুক্তি বিক্রি করার সময় ব্যবহারকারীদের মধ্যে একটি "Avito" 119 হাজার রুবেল হারিয়েছে। শিকারের তদন্তে দেখিয়েছে যে এই সার্ভিসটির একটি সমালোচনামূলক দুর্বলতা রয়েছে, যার ফলে আক্রমণকারীরা কোনও অ্যাভিটো অ্যাকাউন্ট অ্যাক্সেস করতে পারে।
২0২0 সালের শেষের দিকে, ব্যবহারকারী "আভিটো" অ্যালেক্স.ড্টটি 119 হাজার রুবেলের জন্য রঙের সংশোধন প্যানেলের একটি সেট বিক্রি করে। ক্রেতা খুঁজে পেয়েছেন এবং এভিটো-ডেলিভারি মাধ্যমে একটি চুক্তি ইস্যু করার প্রস্তাব দিয়েছেন। পণ্যটি সফলভাবে প্রাপকের শহরে বিতরণ করা হয়েছিল, তিনি পার্সেলটি গ্রহণ করেছিলেন এবং আদেশের জন্য অর্থ প্রদান করেছিলেন।
একই দিনে সন্ধ্যায়, শিকারটি অ্যাভিটোতে লগ ইন করার চেষ্টা করেছিল, কিন্তু তিনি সফল হননি - সিস্টেমটি জানায় যে ব্যবহারকারীকে এই ধরনের লগইন, ফোন নম্বর এবং এভিটোতে ইমেলটি কেবল বিদ্যমান নেই। Cybersecurity Alex.edt এ পরিচিত একটি পরিচিত বিশেষজ্ঞের সাথে, তারা নেটওয়ার্ক লগ, মেইল লগ, আইপি ঠিকানা, অনুমোদন সময়, কল এবং এসএমএসের জন্য লগইন অপারেটরগুলি চেক করেছে, পাশাপাশি আরও অনেক কিছু, তবে হ্যাক করার চেষ্টা করার জন্য তারা কিছু খুঁজে পাচ্ছেন না।
প্রযুক্তিগত সহায়তা "Avito" শুধুমাত্র পরের দিন অ্যাকাউন্টে অ্যাক্সেস পুনরুদ্ধার করা হয়েছে এবং শিকারটি দেখেছিল যে একটি সম্পূর্ণ বহিরাগত ফোন নম্বরটি অ্যাকাউন্টটিতে বাঁধা ছিল, যা, তাছাড়াও নিশ্চিত ছিল না।
শিকারের দ্বারা পরিচালিত তদন্তের ফলে এভিটি-ডেলিভারি সার্ভিসের সমালোচনামূলক দুর্বলতা আবিষ্কার করা হয়েছিল, যার সাথে আক্রমণকারীরা সহজেই কোনও অ্যাকাউন্ট অ্যাক্সেস করতে পারে।
অ্যাভিটো সার্ভিসটি স্বাধীনভাবে বক্সবেরি ইনভয়েস গঠন করে এমন সমস্যার একটি বর্ণনাটি শুরু করুন, যা বিক্রেতার টেলিফোন নম্বরটি অ্যাভিটো অ্যাকাউন্টে বাঁধা, পার্সেলের নামের নাম, পাশাপাশি সম্পূর্ণ মূল্যের সাথে সম্পর্কিত। এর ফলে, পার্সেলের আন্দোলনের সময়, বক্সবেরি স্টাফ এবং অন্যান্য অনেক লোক সরবরাহ প্রক্রিয়ার মধ্যে অংশগ্রহণকারী গোপনীয় তথ্যের একটি সেট পায়, যা তাদেরকে ইস্যু পয়েন্ট, তার মান, টেলিফোন নম্বরের জন্য ডেলিভারি সময় নির্ধারণ করতে দেয় বিক্রেতার মধ্যে:
কিন্তু অনেক পরিবহন সংস্থাগুলিতে একই রকম অনুশীলন রয়েছে, তাই এটি স্বাভাবিক হিসাবে বিবেচিত হতে পারে, কিন্তু অ্যাভিটোর ক্ষেত্রে নয়। সমস্যাটি হল এভিটোর একটি ভয়েস টেকনিক্যাল সাপোর্ট সার্ভিস রয়েছে (সংখ্যা 8-800-, ইত্যাদি), যেখানে এটি কেবলমাত্র অ্যাকাউন্টটিতে বাঁধা থাকা ফোন নম্বরটি কল করে তবে ব্যবহারকারী সনাক্ত করা যেতে পারে। একটি প্রোফাইলের সাথে ভয়েস প্রযুক্তিগত সহায়তার সফল অনুমোদনের পরে, আপনি ইমেল ঠিকানা পরিবর্তন সহ কোনও পদক্ষেপ নিতে পারেন।
সম্ভাব্য শিকারের জন্য (Avito ব্যবহারকারীদের) জন্য, আরেকটি সমস্যা হল যে এই পদ্ধতিটি ব্যবহার করে ইমেল ঠিকানা পরিবর্তনটি "শান্ত মোডে" সঞ্চালিত হয় - ব্যবহারকারীর কোনও বিজ্ঞপ্তিটি পুরানো ইমেল ঠিকানায় কোনও বিজ্ঞপ্তি পাবেন না। অতএব, যদি Avito উপর অনুমোদনের জন্য ব্যবহারকারী একটি "ফোন নম্বর + পাসওয়ার্ড" বান্ডিল প্রযোজ্য, তারপর অ্যাকাউন্টে তার ইমেল intruders প্রতিস্থাপিত হয় কিনা তা জানি না।
প্রভাবিত ব্যবহারকারী Alex.EDT ইভেন্টের ক্রনিকলজি পুনরুদ্ধার করতে সক্ষম হয়েছিল:
- ২8 ডিসেম্বরে আক্রমণকারীরা 14.16 টাকায় জাল আইডি দিয়ে ফোন নম্বর বলে অভিহিত করেছে (টেলিফোনের টেলিফোন নম্বরের সংখ্যা) Avito সমর্থন।
- 14.17 এ, অনুমোদিত প্রবিধানের পর অ্যাভিটো টেকনিক্যাল সাপোর্ট অফিসার, কলারের টেলিফোন নম্বরটি চেক করে এবং এটি একটি অ্যাকাউন্ট ধারক হিসাবে চিহ্নিত করে।
- আক্রমণকারী প্রযুক্তিগত সহায়তা অফিসারকে অন্যের কাছে ইমেল ঠিকানা পরিবর্তন করতে বলেছিল (কর্মচারী ২011 সাল থেকে পরিবর্তন না হলেও কর্মচারী সন্দেহের কারণ ছিল না, এবং একটি শিফটের অনুরোধটি ব্যয়বহুল পার্সেলের কথিত উপস্থাপনের দিনে প্রতিস্থাপিত হয়েছিল আভিটো-ডেলিভারি):
- "Avito" এর সফল পরিবর্তন করার পরে একটি বিজ্ঞপ্তি পাঠায় যা ইমেল ঠিকানাটি সফলভাবে প্রতিস্থাপিত হয়। অদ্ভুত জিনিসটি হল যে বিজ্ঞপ্তিটি কেবলমাত্র নতুন ইমেলের জন্য পাঠানো হয়, এবং পুরানো একের সাথে কিছুই আসে না:
- ফলস্বরূপ, আক্রমণকারীরা (কারিগরি সহায়তা কর্মকর্তাদের কর্মচারীদের সহায়ক সাহায্যে নয় "এভিটিও") অর্থটি সাজানোর সুযোগটি আপনার কাছে যা দরকার তা পেয়েছে।
- 18.36 খ্রিস্টাব্দে, শিকারটি একটি নোটিশ পেয়েছিল যে পার্সেল প্রাপকের ইস্যুতে এসেছিল। 19.20 সালে, প্যাকেজটি ক্রেতাটি নিয়েছিল:
- 19.3২ সালে, আক্রমণকারীরা পূর্বে সংশোধিত ইমেল ব্যবহার করে পাসওয়ার্ডটি ড্রপ করে এবং অ্যাকাউন্টে সহজে অ্যাক্সেস পায়:
- প্রোফাইল ইনপুট ভিপিএন (ভূ-অবস্থান - বুলগেরিয়া) ব্যবহার করে সঞ্চালিত হয়। সম্ভবত, Avito সব ঝুঁকি ব্যবস্থাপনা সিস্টেম আছে না, অথবা এটি কাজ না করা উচিত নয়:
- 19.34 এ, আক্রমণকারীরা ফোন নম্বরটি সরিয়ে দেয়, যা 9 বছরের জন্য অ্যাকাউন্টে বাঁধা ছিল। এই আহত সম্পর্কে এসএমএস বিজ্ঞপ্তি আসে না। শিফটটি অবিলম্বে তৈরি করা হয় - কয়েক ঘন্টার মধ্যে স্ট্যান্ডবাই মোড ছাড়া ইত্যাদি।
- 19.51 সালে, আভিটো লেনদেন বন্ধ করে দেয়, জালিয়াতি তহবিল প্রত্যাহারের একটি রেফারেন্স পায়।
- 19.5২ সালে, প্রতারণাকারীরা 119 হাজার রুবেলকে সেবা থেকে নেয়:
প্রভাবিত ব্যবহারকারী এই ঘটনার সাথে সাথে মন্তব্য করেছেন: "ইন্টারনেটের বিপুল সংখ্যক রোলার রয়েছে যা আক্রমণকারীরা জাল ফোন নম্বর থেকে কল করতে পারে এবং কিভাবে এভিটো সার্ভিসটি কেমন করতে পারে তা সত্ত্বেও এই সমস্যা বোঝায়। কারিগরি সাপোর্ট "অ্যাভিটো" স্বাধীনভাবে জালিয়াতির অ্যাকাউন্টে সম্পূর্ণ অ্যাক্সেস প্রদান করা হয়েছে, তবে পরিষেবা প্রতিনিধিরা এটির পুনরাবৃত্তি করেছিলেন যে এটি আরও নির্ভরযোগ্য পাসওয়ার্ড আবিষ্কারের প্রয়োজন ছিল এবং অন্য স্ট্যান্ডার্ড অর্থহীন বলেছিল, যার সমস্যাটির সাথে কিছুই করার ছিল না।
আলোচনার ফলে, আভিটো সার্ভিসের অবস্থানটি একই রকম ছিল - আমরা আপনাকে কীভাবে হ্যাক করেছি তা জানি না। এটি বোঝা উচিত যে উপরে বর্ণিত পদ্ধতিটি প্রাসঙ্গিক - প্রতিটি অ্যাকাউন্ট "আভিটো" আরও টর্কে হ্যাক করা যেতে পারে। এবং ব্যবহৃত কোনও তথ্য সুরক্ষা সরঞ্জাম, ব্যবহারকারীরা এই দুর্বলতা সহ্য করতে সক্ষম হবেন না ":
Cisoclub.ru উপর আরো আকর্ষণীয় উপাদান। আমাদের সাবস্ক্রাইব করুন: ফেসবুক | ভি কে | টুইটার |. Instagram |. টেলিগ্রাম |. জেন |. মেসেঞ্জার | আইকিজি নিউ | ইউটিউব |. স্পন্দন.