Jedan od korisnika "Avito" izgubio je 119 hiljada rubalja prilikom prodaje njihove tehnologije koristeći uslugu Avito dostave. Istraživanje žrtve pokazalo je da usluga ima kritičnu ranjivost, zbog kojeg napadači mogu lako pristupiti bilo kojem avito računu.
Na kraju 2020. godine korisnik "Avito" Alex.edt prodaje se na mjestu skup panela za korekciju boja za 119 hiljada rubalja. Kupac je pronašao i ponudio da izvrši dogovor putem avito-dostave, što je učinjeno. Roba je uspješno isporučena gradu primaoca, uzeo je pošiljku i platio naređenje.
Uveče istog dana, žrtva se pokušala prijaviti u Avito, ali nije uspio - sistem je izvijestio da je korisnik sa takvom prijavom, telefonski broj i e-poštu Avito jednostavno ne postoje. Zajedno sa poznatim stručnjakom u cyberEcurity Alex.ed, provjerili su mrežne zapisnike, evidenciju pošti, IP adrese, vrijeme autorizacije, operatere za prijavu i SMS-a, ali nisu mogli pronaći ništa u pokušaju hakiranja.
Tehnička podrška "Avito" obnavljao je pristup računu samo sutradan i žrtva je vidjela da je potpuno vanjski telefonski broj bio vezan za račun, koji, osim toga nije potvrđen.
Istraga koju je provela žrtva dovela je do činjenice da je otkrivena kritična ranjivost avito-dostave usluge, sa kojim napadačima lako mogu pristupiti bilo kojem računu.
Pokrenite opis problema koji stoji sa činjenicom da servisna usluga neovisno čini fakturu boxberry, što ukazuje na telefonski broj prodavača vezanog na Avito račun, naziv onoga što je u parceli, kao i puni trošak. Kao rezultat toga, u vrijeme kretanja parcele, osoblje Kucberry i mnogi drugi ljudi koji sudjeluju u logističkim procesima dobivaju skup povjerljivih podataka, što im omogućava da postave vrijeme isporuke na točku izdavanja, njenu vrijednost, broj telefona prodavca:
Ali postoje slične prakse u mnogim transportnim kompanijama, tako da se može smatrati i uobičajenim, ali ne u slučaju Avito. Problem je što Avito ima glasovnu tehničku podršku (broj 8-800- itd.), Gdje se korisnik može identificirati ako jednostavno nazove telefonski broj koji je vezan na račun. Nakon uspješne autorizacije u glasovnom tehničkoj podršci s profilom, možete napraviti bilo kakve radnje, uključujući promjenu adrese e-pošte.
Za potencijalne žrtve (Avito korisnici), drugi problem je što se promjena adrese e-pošte pomoću takve metode vrši u "tihom režimu" - bez obavijesti korisnika na staru adresu e-pošte neće primiti. Stoga, ako korisnik za autorizaciju na Avito-u primjenjuje paket "Telefonski broj + lozinku", tada ne zna je li njegova e-pošta na računu zamijenila uljeze.
Učinkovit korisnik Alex.edt uspio je vratiti hronologiju događaja:
- Napadači 28. decembra u 14.16 nazivali su telefonski broj sa lažnim ID-om (ponavljajući brojevi u telefonom broju Alex.edt) na Avito podršku.
- U 14.17, avito službenik za tehničku podršku, nakon odobrenih propisa, potvrdio je telefonski broj pozivatelja i identificirao kao vlasnika računa.
- Napadač je zatražio od službenika tehničke podrške da promijeni adresu e-pošte drugom (zaposleni nije izazvao sumnju iako se e-pošta ne mijenja od 2011. godine, a zahtjev za promjenom zamijenjen na dan navodne prezentacije skupe paketa sa Avito-dostava):
- Nakon uspješne promjene "Avito" šalje obavijest da se adresa e-pošte uspješno zamijeni. Najčudnija stvar je da se obavijest šalje samo na novu e-poštu, a ništa ne dolazi u staru:
- Kao rezultat toga, napadači (ne bez ljubazne pomoći zaposlenika službenika tehničke podrške "Avito") dobili su sve što trebate imati priliku ukrasiti novac.
- U 18.36, žrtva je primila obavijest da je paket došlo do izdavanja primatelja. 19.20, paket je uzeo kupca:
- 19.32, napadači ispuštaju lozinku koristeći prethodno izmijenjenu e-poštu i postanu lak pristup računu:
- Unos profila se vrši pomoću VPN-a (Geolokacija - Bugarska). Najvjerovatnije, Avito uopće nema sistem upravljanja rizikom ili ne funkcionira kako bi trebalo:
- U 19.34, napadači uklanjaju telefonski broj koji je bio vezan za račun 9 godina. Obavijest o SMS-u o ovom ozlijeđenom ne dolazi. Shift se takođe odmahne - bez režima pripravnosti u nekoliko sati itd.
- 19.51, Avito zatvara transakciju, prevarants se odnose na povlačenje sredstava.
- 19.52, prevarants uzimaju 119 hiljada rubalja iz servisa:
Pogođeni korisnik komentirao je kako se događa: "Najviše utječe na najvjerovatnije postojanje takve ranjivosti, uprkos činjenici da internet ima ogroman broj valjci koji napadači mogu nazvati iz lažnih telefonskih brojeva i kako se služba odnosi se na ovaj problem. Tehnička podrška "Avito" samostalno je pružila prevara punim pristupom računu, ali servisni predstavnici su ponovili samo da je potrebno izmisliti pouzdanu lozinku i rekao je još jednu standardnu gluposti, što nema nikakve veze sa problemom.
Kao rezultat rasprave, položaj Avito usluge ostao je isti - ne znamo kako ste bili hakirani. Trebalo bi shvatiti da je gore opisana metoda relevantna - svaki račun "avito" može se hakirati sa daljnjim obrtnim momentom. I sve korištene alate za sigurnosno osiguranje, korisnici neće moći izdržati ovu ranjivost ":
Zanimljiviji materijal na cisoclub.ru. Pretplatite se na nas: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NOVO | YouTube | Puls.