Un dels usuaris "Avito" va perdre 119 mil rubles a l'hora de vendre la seva tecnologia mitjançant un servei de lliurament avito. La investigació de la víctima va demostrar que el servei té una vulnerabilitat crítica, a causa dels que els atacants poden accedir fàcilment a qualsevol compte Avito.
A finals del 2020, l'usuari "Avito" Alex.edt es va vendre al lloc un conjunt de panells de correcció de colors per a 119 mil rubles. El comprador va trobar i es va oferir per emetre un acord a través d'un lliurament avito, que es va fer. Les mercaderies es van lliurar amb èxit a la ciutat del destinatari, va prendre la parcel·la i va pagar la comanda.
A la tarda del mateix dia, la víctima va intentar iniciar sessió a Avito, però no va tenir èxit: el sistema va informar que l'usuari amb aquest inici de sessió, el número de telèfon i el correu electrònic a Avito simplement no existeix. Juntament amb un especialista familiar en ciberseguretat Alex.edt, van comprovar els registres de xarxa, els registres de correu, les adreces IP, el temps d'autorització, els operadors d'inici de sessió de trucades i SMS, així com molt més, però no van poder trobar res apuntalant a intentar piratejar.
El suport tècnic "Avito" va restaurar l'accés al compte només l'endemà i la víctima va veure que un número de telèfon completament estrany estava lligat al compte, que, a més, no es va confirmar.
La investigació realitzada per la víctima va portar al fet que es va descobrir la vulnerabilitat crítica del servei de lliurament avito, amb els quals els atacants poden accedir fàcilment a qualsevol compte.
Comenceu una descripció del problema de peu amb el fet que el servei Avito forma independentment la factura de bojos, que indica el número de telèfon del venedor lligat al compte Avito, el nom del que es troba a la parcel·la, així com al cost total. Com a resultat d'això, en el moment del moviment de la parcel·la, el personal de bojos i de moltes altres persones que participen en processos logístics reben un conjunt d'informació confidencial, que els permet establir el temps de lliurament al punt d'emissió, el seu valor, número de telèfon del venedor:
Però hi ha pràctiques similars en moltes empreses de transport, de manera que es pot considerar habitual, però no en el cas d'Avito. El problema és que Avito té un servei de suport tècnic de veu (número 8-800-, etc.), on l'usuari es pot identificar si simplement truca el número de telèfon que està lligat al compte. Després d'una autorització reeixida en el suport tècnic de veu amb un perfil, podeu fer qualsevol acció, incloent canviar l'adreça de correu electrònic.
Per a les víctimes potencials (usuaris AVITO), un altre problema és que el canvi d'adreça de correu electrònic utilitzant aquest mètode es realitza en el "mode silenciós": no es rebran notificacions de l'usuari a l'adreça de correu electrònic antiga. Per tant, si l'usuari d'autorització a l'avit s'aplica un paquet "número de telèfon + contrasenya", llavors no sap si el seu correu electrònic al compte va substituir els intrusos.
L'usuari afectat Alex.edt va poder restaurar la cronologia dels esdeveniments:
- Els atacants el 28 de desembre a les 14.16 van anomenar el número de telèfon amb l'identificador fals (repetir els números del número de telèfon d'Alex.edt) a AVITO SUPORT.
- Als 14.17, l'oficial de suport tècnic avit, seguint la normativa aprovada, va comprovar el número de telèfon de la persona que truca i la va identificar com a titular del compte.
- L'atacant va demanar a l'oficial de suport tècnic que canviï l'adreça de correu electrònic a una altra (l'empleat no va causar sospites, tot i que el correu electrònic no va canviar des del 2011 i es va substituir la sol·licitud d'un canvi el dia de la presumpta presentació de la presumpta parcel·la Lliurament avito):
- Després del canvi d'èxit de "Avito" envia una notificació que l'adreça de correu electrònic es substitueix correctament. La cosa més estranya és que la notificació només s'envia al nou correu electrònic, i no arriba res a l'antic:
- Com a resultat, els atacants (no sense la amable ajuda dels empleats dels oficials de suport tècnic "Avito") van aconseguir tot el que necessiteu per tenir l'oportunitat de decorar els diners.
- A les 18.36, la víctima va rebre un avís que la parcel·la va arribar a l'emissió del destinatari. En 19.20, el paquet va prendre el comprador:
- En 19.32, els atacants cauen la contrasenya mitjançant el correu electrònic anteriorment modificat i es facilita l'accés al compte:
- L'entrada de perfil es realitza mitjançant VPN (geolocalització - Bulgària). El més probable és que AVITO no tingui gens un sistema de gestió de riscos, o no funciona com hauria de:
- Als 19.34, els atacants eliminen el número de telèfon, que estava lligat al compte durant 9 anys. La notificació SMS sobre aquest ferit no arriba. El canvi també es fa immediatament: sense mode d'espera en diverses hores, etc.
- En 19.51, Avito tanca la transacció, els defraudadors obtenen una referència a la retirada dels fons.
- En 19.52, els estafadors tenen 119 mil rubles del servei:
L'usuari afectat va comentar de la manera següent: "El més afecta el més probable de l'existència d'aquesta vulnerabilitat, tot i que Internet té un gran nombre de rodets que els atacants poden trucar des de números de telèfon falsos i com el servei AVITO es refereix a aquest problema. Suport tècnic "Avito" proporcionat independentment els estafadors d'accés complet al compte, però els representants del servei es van repetir només que era necessari inventar una contrasenya més fiable i va dir a una altra tonteresa estàndard, que no tenia res a veure amb el problema.
Com a resultat de la discussió, la posició del servei Avito es va mantenir igual: no sabem com va ser piratejat. Cal entendre que el mètode descrit anteriorment és el pertinent: cada compte "Avito" pot ser piratejat amb un parell posterior. I les eines de seguretat de la informació utilitzades, els usuaris no podran resistir aquesta vulnerabilitat ":
Material més interessant a Cisoclub.ru. Subscriviu-nos a nosaltres: Facebook | Vk | Twitter | Instagram | Telegrama | Zen | Missatgera ICQ NOU | Youtube | Pols.