Uno de los usuarios "Avito" perdió 119 mil rublos al vender su tecnología utilizando el servicio de entrega de Avito. La investigación de la víctima mostró que el servicio tiene una vulnerabilidad crítica, debido a que los atacantes pueden acceder fácilmente a cualquier cuenta AVITO.
A fines de 2020, el usuario "Avito" Alex.edt se vendió en el sitio un conjunto de paneles de corrección de color para 119 mil rublos. El comprador se encuentra y se ofreció a emitir un acuerdo a través de Avito-Entrega, que se realizó. Los bienes se entregaron con éxito a la ciudad del destinatario, tomó la parcela y pagó por el pedido.
En la noche del mismo día, la víctima intentó iniciar sesión en Avito, pero no tuvo éxito: el sistema informó que el usuario con dicho inicio de sesión, el número de teléfono y el correo electrónico a Avito simplemente no existe. Junto con un especialista familiar en Cybersegurity Alex.Edt, revisaron registros de red, registros de correo, direcciones IP, tiempo de autorización, operadores de inicio de sesión para llamadas y SMS, así como mucho más, pero no pudieron encontrar nada señalando a intentar hackear.
El soporte técnico "AVITO" restauró el acceso a la cuenta solo al día siguiente y la víctima vio que un número de teléfono completamente extraño se vio atado a la cuenta, que, además, no se confirmó.
La investigación realizada por la víctima llevó al hecho de que se descubrió la vulnerabilidad crítica del servicio de prontonedía, con qué atacantes puede acceder fácilmente a cualquier cuenta.
Inicie una descripción del problema de pie con el hecho de que el Servicio Avito constituye de forma independiente la factura de Boxberry, que indica el número de teléfono del vendedor atado a la cuenta Avito, el nombre de lo que está en la parcela, así como el costo total. Como resultado de esto, en el momento del movimiento de la parcela, el personal de Boxberry y muchas otras personas que participan en los procesos logísticos reciben un conjunto de información confidencial, lo que les permite establecer el tiempo de entrega al punto de emisión, su valor, número de teléfono del vendedor:
Pero hay prácticas similares en muchas empresas de transporte, por lo que puede considerarse habitual, pero no en el caso de Avito. El problema es que AVITO tiene un servicio de soporte técnico de voz (número 8-800, etc.), donde se puede identificar el usuario si simplemente llama el número de teléfono que está vinculado a la cuenta. Después de una exitosa autorización en el soporte técnico de voz con un perfil, puede realizar cualquier acción, incluido el cambio de la dirección de correo electrónico.
Para las víctimas potenciales (usuarios de Avito), otro problema es que el cambio de la dirección de correo electrónico que utiliza un método de este tipo se realiza en el "modo silencioso": no se recibirá notificaciones del usuario a la dirección de correo electrónico anterior. Por lo tanto, si el usuario para la autorización en AVITO aplica un paquete de "número de teléfono + contraseña", entonces no sabe si su correo electrónico en la cuenta reemplazó a los intrusos.
El usuario afectado Alex.Edt fue capaz de restaurar la cronología de los eventos:
- Los atacantes el 28 de diciembre a los 14.16 llamaron el número de teléfono con la identificación falsa (números de repetición en el número de teléfono de Alex.DT) a Avito Support.
- En 14.17, Avito Technical Support Office, siguiendo las regulaciones aprobadas, revisó el número de teléfono de la persona que llama e lo identificó como titular de una cuenta.
- El atacante solicitó al oficial de apoyo técnico que cambie la dirección de correo electrónico a otra (el empleado no causó sospechas, aunque el correo electrónico no cambió desde 2011, y la solicitud de un turno fue reemplazada en el día de la presunta presentación de la parcela costosa con AVITO-ENTREGA):
- Después de que el cambio exitoso de "AVITO" envía una notificación de que la dirección de correo electrónico se reemplaza con éxito. Lo más extraño es que la notificación se envía solo al nuevo correo electrónico, y nada llega a la antigua:
- Como resultado, los atacantes (no sin la ayuda amable de los empleados de los oficiales de apoyo técnico "Avito") obtuvieron todo lo que necesitas para tener la oportunidad de decorar el dinero.
- A 18.36, la víctima recibió un aviso de que el paquete llegó a la emisión del destinatario. En 19.20, el paquete tomó el comprador:
- En 19.32, los atacantes sueltan la contraseña utilizando el correo electrónico modificado previamente y obtén acceso fácil a la cuenta:
- La entrada de perfil se realiza utilizando VPN (geolocalización - Bulgaria). Lo más probable es que Avito no tiene en absoluto un sistema de gestión de riesgos, o no funciona, ya que debería:
- A 19.34, los atacantes eliminan el número de teléfono, que se vio atado a la cuenta durante 9 años. La notificación de SMS sobre esto lesionado no viene. El cambio también se realiza de inmediato, sin modo de espera en varias horas, etc.
- En 19.51, Avito cierra la transacción, los estafadores obtienen una referencia a la retirada de los fondos.
- En 19.52, los estafadores toman 119 mil rublos desde el servicio:
El usuario afectado comentó lo siguiente que sucede: "El más afecta a los más probables de la existencia de dicha vulnerabilidad, a pesar del hecho de que Internet tiene una gran cantidad de rodillos que los atacantes pueden llamar desde los números de teléfono falsos y cómo el Servicio Avito Se refiere a este problema. Soporte técnico "Avito" proporcionó de forma independiente el acceso completo a la cuenta, pero los representantes de servicio repitieron solo que era necesario inventar una contraseña más confiable y contería otra tontería estándar, que no tenía nada que ver con el problema.
Como resultado de la discusión, la posición del Servicio Avito siguió siendo el mismo, no sabemos cómo fue hackeado. Debe entenderse que el método descrito anteriormente es el relevante: cada cuenta "AVITO" se puede hackear con un par de más. Y cualquier herramienta de seguridad de la información utilizada, los usuarios no podrán soportar esta vulnerabilidad ":
Material más interesante en cisoclub.ru. Suscríbase a nosotros: Facebook | Vk | Twitter | Instagram | Telegrama | Zen | Messenger | ICQ nuevo | YouTube | Legumbres.