Üks kasutajatest "Avito" kaotasid oma tehnoloogia müümisel 119 tuhat rubla Avito-kättetoimetamise teenuse abil. Ohvri uurimine näitas, et teenistuses on kriitiline haavatavus, mille tõttu ründajad saavad hõlpsasti juurdepääsu Avito kontole.
Lõpus 2020 kasutaja "Avito" Alex. mida müüdi saidi komplekt värvi korrigeerimise paneelid 119000 rubla. Ostja leidis ja pakkusid pakkumise väljaandmist Avito-kohaletoimetamise kaudu, mis tehti. Kaubad edastati edukalt saaja linnale, ta võttis paki ja maksis tellimuse eest.
Sama päeva õhtul püüdis ohver Avito sisse logida, kuid ta ei õnnestunud - süsteem teatas, et kasutaja sellise sisselogimisega, telefoninumber ja e-kiri Avito lihtsalt ei ole olemas. Koos tuttava spetsialisti küberjulgeoleku Alex. mida Alex. mida nad kontrollisid võrgu logisid, posti logisid, IP-aadresse, autoriseerimisaeg, sisselogimise operaatorid kõned ja SMS, samuti palju muud, kuid nad ei leidnud midagi, mis püüab häkkida.
Tehniline tugi "Avito" taastatud juurdepääs kontole ainult järgmisel päeval ja ohver nägi, et täiesti võõras telefoninumber oli seotud kontoga, mis pealegi ei kinnitatud.
Ohvri poolt läbi viidud uurimine tõi kaasa asjaolu, et avastati avito-kohaletoimetamise teenuse kriitiline haavatavus, mille ründajad saavad kontot hõlpsasti juurde pääseda.
Alustage probleemi kirjeldust, mis seisab, et Avito teenus moodustab iseseisvalt Boxberry arve, mis näitab Avito kontoga seotud telefoninumbrit, mis on maatüki nimi ja kogumaksumus. Selle tulemusena saavad maatüki liikumise ajal, poksitöötajate ja paljude teiste logistikaprotsessides osalevate inimeste ajal konfidentsiaalse teabe kogum, mis võimaldab neil määrata väljaandeaeg küsimusele, selle väärtus, telefoninumber Müüja:
Kuid paljudes transpordifirmades on sarnaseid tavasid, nii et seda võib pidada tavapäraseks, kuid mitte Avito puhul. Probleem on selles, et Avito on häältehnika tugiteenus (number 8-800- jne), kus kasutaja saab tuvastada, kui see lihtsalt kutsub telefoninumber, mis on seotud kontoga. Pärast edukat autoriseerimist hääle tehnilise toega profiiliga saate teha mis tahes toiminguid, sealhulgas e-posti aadressi muutmine.
Potentsiaalsete ohvrite (Avito kasutajad), teine probleem on see, et e-posti aadressi muutmine sellise meetodi abil teostatakse "vaikses režiimis" - ükski teated kasutajale vanas e-posti aadressile ei saa. Seega, kui Avito loa andmise kasutaja rakendab "telefoninumbrit + parooli" paketti, siis see ei tea, kas selle e-posti konto asendas sissetungijaid.
Mõjutatud kasutaja Alex.EDT suutis ürituste kronoloogia taastada:
- Ründajad 28. detsembril kell 14.16 nimetatakse telefoninumbriks võltsitud ID-ga (korduvad numbrid Alex.eDT telefoninumbril) Avito toele.
- AT 14.17, Avito Tehnilise abi ametnik, pärast heakskiidetud määrusi kontrollitakse helistaja telefoninumbrit ja tuvastas selle konto omanikuna.
- Ründaja palus tehnilisel toetajal muuta e-posti aadressi teisele (töötaja ei põhjustanud kahtlust, kuigi e-kiri ei muutunud alates 2011. aastast ja vahetuse taotlus asendati kallis maatüki väidetava esitamise päeval Avito-kohaletoimetamine):
- Pärast "Avito" edukat muutmist saadab teate, et e-posti aadress on edukalt asendatud. Kummalisem asi on see, et teatis saadetakse ainult uuele e-kirjale ja midagi ei jõua vanale:
- Selle tulemusena ründavad ründajad (mitte ilma tehnilise abi ametnike töötajate liikmete abita "Avito") kõik, mida vajate võimalust raha kaunistada.
- At 18.36 sai ohver teade, et maatükk saaja väljastamisse jõudis. 19.20, pakett võttis ostja:
- 19.32 ründavad ründajad parooli kasutades eelnevalt modifitseeritud e-posti ja saada lihtsa juurdepääsu kontole:
- Profiili sisend viiakse läbi VPN-i abil (Geolocation - Bulgaaria). Tõenäoliselt ei ole Avito üldse riskijuhtimissüsteemi või see ei tööta, sest see peaks:
- 19.34 ründajad eemaldavad telefoninumber, mis oli seotud kontoga 9 aastat. SMS-i teade sellest vigastamisest ei tule. Shift on tehtud ka kohe - ilma ooterežiimis mitme tunni jooksul jne.
- 19.51 Avito sulgeb tehingu, petturid viitavad fondide tühistamisele.
- Aastal 19,52 võtavad petturid teenindusest 119 tuhat rubla:
Mõjutatud kasutaja kommenteeris järgmiselt: "Kõige mõjutab kõige tõenäolisemalt sellise haavatavuse olemasolu, hoolimata asjaolust, et internetil on suur hulk rullemeid, mida ründajad saavad võltsitud telefoninumbritest helistada ja kuidas Avito teenus viitab sellele probleemile. Tehniline tugi "Avito" sõltumatult pakkus pettuse täieliku juurdepääsu kontole, kuid teenuse esindajad korrata ainult, et oli vaja leiutada usaldusväärsemat parooli ja rääkis teise tavalise jama, millel ei olnud midagi pistmist probleemiga.
Arutelu tulemusena jäi Avito teenuse asukoht samaks - me ei tea, kuidas sa olid häkkinud. Tuleb mõista, et ülalkirjeldatud meetod on asjakohane - iga konto "Avito" saab häkkida edasise pöördemomendiga. Ja mis tahes infoturbe tööriistad kasutajad ei suuda taluda seda haavatavust ":
Huvitavamat materjali Cisoclub.ru. Telli US: Facebook | VK | Twitter | Instagram | Telegramm | Zen | Messenger | ICQ Uus | YouTube | Impulsi.