Collodd un o'r defnyddwyr "Avito" 119,000 rubles wrth werthu eu technoleg gan ddefnyddio gwasanaeth cyflenwi Avito. Dangosodd ymchwiliad i'r dioddefwr fod gan y gwasanaeth fregusrwydd beirniadol, oherwydd pa ymosodwyr sy'n gallu cael gafael ar unrhyw gyfrif Avito yn hawdd.
Ar ddiwedd 2020, gwerthodd y defnyddiwr "Avito" Alex.edt ar y safle set o baneli cywiro lliw ar gyfer 119,000 rubles. Canfu'r prynwr a chynigiodd gyhoeddi cytundeb trwy ddarparu Avito, a wnaed. Cyflwynwyd y nwyddau yn llwyddiannus i ddinas y derbynnydd, cymerodd y parsel a'i dalu am y gorchymyn.
Gyda'r nos o'r un diwrnod, ceisiodd y dioddefwr fewngofnodi i AVITO, ond ni lwyddodd - dywedodd y system fod y defnyddiwr â mewngofnodi o'r fath, y rhif ffôn ac e-bost i Avito yn bodoli yn syml. Ynghyd ag arbenigwr cyfarwydd mewn cybersecurity Alex.edt, fe wnaethant wirio logiau rhwydwaith, logiau post, cyfeiriadau IP, amser awdurdodi, gweithredwyr mewngofnodi ar gyfer galwadau a SMS, yn ogystal â llawer mwy, ond ni allent ddod o hyd i unrhyw beth yn pwyntio wrth geisio hacio.
Mae'r cymorth technegol "AVITO" adfer mynediad i'r cyfrif yn unig y diwrnod wedyn a gwelodd y dioddefwr fod rhif ffôn cwbl allanol ei glymu i'r cyfrif, sydd, ar ben hynny, ni chadarnhawyd.
Arweiniodd yr ymchwiliad a gynhaliwyd gan y dioddefwr at y ffaith bod y bregusrwydd beirniadol y gwasanaeth cyflenwi Avito ei ddarganfod, y gall ymosodwyr yn hawdd gael mynediad i unrhyw gyfrif.
Dechreuwch ddisgrifiad o'r broblem yn sefyll gyda'r ffaith bod y gwasanaeth AVITO yn ffurfio anfoneb Boxberry yn annibynnol, sy'n dangos rhif ffôn y gwerthwr sydd ynghlwm wrth y cyfrif Avito, enw'r hyn sydd yn y parsel, yn ogystal â'r gost lawn. O ganlyniad i hyn, ar adeg symud y parsel, mae staff Boxberry a llawer o bobl eraill sy'n cymryd rhan mewn prosesau logisteg yn derbyn set o wybodaeth gyfrinachol, sy'n eu galluogi i osod yr amser dosbarthu i'r pwynt cyhoeddi, ei werth, ei rif ffôn o'r gwerthwr:
Ond mae yna arferion tebyg mewn llawer o gwmnïau trafnidiaeth, felly gellir ei ystyried yn arferol, ond nid yn achos Avito. Y broblem yw bod gan Avito wasanaeth cymorth technegol llais (rhif 8-800-, ac ati), lle gellir adnabod y defnyddiwr os yw'n galw'r rhif ffôn sydd wedi'i glymu i'r cyfrif yn unig. Ar ôl awdurdodi llwyddiannus mewn cymorth technegol llais gyda phroffil, gallwch wneud unrhyw gamau gweithredu, gan gynnwys newid y cyfeiriad e-bost.
Ar gyfer dioddefwyr posibl (defnyddwyr AVITO), problem arall yw bod y newid cyfeiriad e-bost gan ddefnyddio dull o'r fath yn cael ei berfformio yn y "modd tawel" - ni fydd unrhyw hysbysiadau o'r defnyddiwr i'r hen gyfeiriad e-bost yn derbyn. Felly, os yw'r defnyddiwr ar gyfer awdurdodiad ar Avito yn cymhwyso bwndel "rhif ffôn + cyfrinair", yna nid yw'n gwybod a yw ei e-bost yn y cyfrif yn disodli'r tresbaswyr.
Roedd y defnyddiwr yr effeithir arno Alex.Edt yn gallu adfer cronoleg digwyddiadau:
- Galwodd yr ymosodwyr ar 28 Rhagfyr am 14.16 y rhif ffôn gyda'r ID ffug (yn ailadrodd rhifau yn rhif ffôn Alex.edt) i Avito Support.
- Yn 14.17, mae Swyddog Cymorth Technegol AVITO, yn dilyn y rheoliadau cymeradwy, yn gwirio rhif ffôn y galwr ac yn nodi ei fod yn ddeiliad cyfrif.
- Gofynnodd yr ymosodwr i'r Swyddog Cymorth Technegol newid y cyfeiriad e-bost i'r llall (nid oedd y gweithiwr yn achosi amheuaeth er nad oedd e-bost yn newid ers 2011, a disodlwyd y cais am newid ar ddiwrnod y cyflwyniad honedig y parsel drud gyda Darpariaeth Avito):
- Ar ôl y newid llwyddiannus o "Avito" yn anfon hysbysiad bod y cyfeiriad e-bost yn cael ei ddisodli yn llwyddiannus. Y peth rhyfeddaf yw bod yr hysbysiad yn cael ei anfon i'r e-bost newydd yn unig, ac nid oes dim yn dod i'r hen un:
- O ganlyniad, cafodd yr ymosodwyr (nid heb gymorth caredig gweithwyr y Swyddogion Cymorth Technegol "Avito") bopeth sydd angen i chi gael y cyfle i addurno'r arian.
- Ar 18.36, derbyniodd y dioddefwr hysbysiad y daeth y parsel i issuance y derbynnydd. Yn 19.20, aeth y pecyn â'r prynwr:
- Yn 19.32, mae ymosodwyr yn gollwng y cyfrinair gan ddefnyddio'r e-bost a addaswyd yn flaenorol a chael mynediad hawdd i'r cyfrif:
- Cynhelir y mewnbwn proffil gan ddefnyddio VPN (GeoCocation - Bwlgaria). Yn fwyaf tebygol, nid oes gan Avito system rheoli risg o gwbl, neu nid yw'n gweithio fel y dylai:
- Am 19.34, mae ymosodwyr yn tynnu'r rhif ffôn, a gafodd ei glymu i'r cyfrif am 9 mlynedd. Nid yw hysbysiad SMS am hyn a anafwyd yn dod. Gwneir y sifft hefyd ar unwaith - heb ddull segur mewn sawl awr, ac ati.
- Yn 19.51, mae Avito yn cau'r trafodiad, mae twyllwyr yn cael cyfeiriad at dynnu arian yn ôl.
- Yn 19.52, mae twyllwyr yn cymryd 119 mil o rubles o'r gwasanaeth:
Dywedodd y defnyddiwr yr effeithir arno fel a ganlyn y digwyddiadau: "Mae'r mwyaf yn effeithio fwyaf tebygol o fodolaeth mor agored i niwed, er gwaethaf y ffaith bod gan y Rhyngrwyd nifer fawr o rolwyr y gall ymosodwyr eu galw o rifau ffôn ffug, a sut mae'r gwasanaeth Avito yn cyfeirio at y broblem hon. Cymorth technegol "AVITO" a ddarperir yn annibynnol Twyllwyr Mynediad llawn i'r cyfrif, ond mae'r cynrychiolwyr y gwasanaeth ailadrodd yn unig ei bod yn angenrheidiol i ddyfeisio cyfrinair mwy dibynadwy a dweud nonsens safonol arall, nad oedd ganddo ddim i'w wneud â'r broblem.
O ganlyniad i'r drafodaeth, arhosodd sefyllfa'r gwasanaeth Avito yr un fath - nid ydym yn gwybod sut yr oeddech chi'n cael eich hacio. Dylid deall bod y dull a ddisgrifir uchod yn berthnasol - gellir hacio pob cyfrif "Avito" gyda thorque pellach. Ac unrhyw offer diogelwch gwybodaeth a ddefnyddir, ni fydd defnyddwyr yn gallu gwrthsefyll y bregusrwydd hwn ":
Deunydd mwy diddorol ar Cisoclub.ru. Tanysgrifiwch i ni: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NEWYDD | YouTube | Pwls.