"Avito" erabiltzaileetako batek 119 mila errublo galdu zituen beren teknologia saltzeko zerbitzua erabiliz. Biktimaren ikerketak zerbitzuak ahultasun kritikoa duela erakutsi zuen, eta erasotzaileek AVITO kontuetara erraz sar dezakete.
2020. urtearen amaieran, "Avito" erabiltzailea alex.edt-ek gunean saldu zuen 119 mila errublo kolore zuzentzeko panel multzo bat. Erosleak Avito-entrega bidez, egin zuen akordioa eman eta eskaini zuen. Salgaiak arrakastaz eman ziren hartzailearen hirira, paketea hartu eta eskaera ordaindu zuen.
Egun berean, biktima Avito-n saioa hasi zen, baina ez zuen arrakasta izan. Sistemak jakinarazi zuen erabiltzaileak halako saioa duen erabiltzaileak, telefono zenbakia eta Avito-ri posta elektronikoa ez dela existitzen. Cybersecurity Alex.edt-en espezialista ezagun batekin batera, sareko erregistroak, posta-erregistroak, posta-erregistroak, IP helbideak, baimen-denbora, saioa hasteko operadoreak eta SMSak, baina ez dute ezer gehiago irudikatu.
"Avito" laguntza teknikoak hurrengo egunean bakarrik sarbidea berreskuratu zuen eta biktimak ikusi zuen kontuarekin erabat kanpoko telefono zenbaki bat, eta hori, gainera, ez da baieztatu.
Biktimak egindako ikerketak Avito-entrega zerbitzuaren ahultasun kritikoa aurkitu zuen, eta horrekin erasotzaileek edozein konturen sar dezakete.
Hasi arazoaren deskribapena, Avito zerbitzua Boxerry Faktura modu independentean eratzen duenarekin, saltzailearen konturari lotuta dagoen telefono zenbakia adierazten duena, partzelaren barruan dagoenaren izena, baita kostu osoa ere. Horren ondorioz, partzelaren mugimenduaren unean, Boxberryko langileek eta prozesu logistikoetan parte hartzen duten beste pertsona askok informazio konfidentzialaren multzoa jasotzen dute, eta horri esker, entrega-denbora gaiari, bere balioa, bere balioa, telefono zenbakia Saltzailearen:
Baina antzeko praktikak daude garraio enpresa askotan, beraz, ohi izan daiteke, baina ez Avitoren kasuan. Arazoa da Avito-k ahots bidezko laguntza teknikoko zerbitzua duela (8-800-, etab.), Non erabiltzailea identifikatu daitekeen kontuari lotuta dagoen telefono zenbakia deitzen badu. Profil batekin ahots-laguntza teknikoan baimen arrakastatsua egin ondoren, edozein ekintza egin ditzakezu, helbide elektronikoa aldatzea barne.
Biktima potentzialentzat (AVITO erabiltzaileak), beste arazo bat da horrelako metodoa erabiltzea metodo bat erabiliz "modu lasaian" - erabiltzaileak ez du helbide elektroniko zaharrari jakinarazpenik jasoko. Hori dela eta, AVITOn baimena lortzeko erabiltzaileak "telefono zenbakia + pasahitza" sorta aplikatzen badu, ez daki kontuko bere helbide elektronikoa intrusek ordezkatu duen ala ez.
Alex.edt kaltetutako erabiltzaileak gertaeren kronologia berreskuratu ahal izan zuen:
- Erasotzaileek abenduaren 28an 14.16an deitu zuten Telefono zenbakia ID faltsua (Alex.edt telefono zenbakian zenbakiak errepikatzen dituztenak) Avito-ra.
- 14.17an, Avito Laguntza Teknikoko arduradunak, onartutako araudiak jarraituz, deitzailearen telefono zenbakia egiaztatu zuen eta kontu titular gisa identifikatu zuen.
- Erasotzaileak laguntza teknikoko funtzionarioari beste bati helbide elektronikoa aldatzeko eskatu zion (langileak ez zuen susmoak eragin, posta elektronikoa 2011tik aldatu ez bada ere, eta txandaren eskaera aldatu egin da Pakete garestiaren aurkezpenaren egunean Avito-entrega):
- "Avito" aldaketaren ondoren, helbide elektronikoa behar bezala ordezkatzen dela jakinarazten du. Gauza bitxiena da jakinarazpena mezu elektroniko berrira soilik bidaltzen dela, eta ez da ezer zaharrera iristen:
- Ondorioz, erasotzaileek (AVITO "laguntza teknikoetako langileen langileen laguntzarik gabe) dirua dekoratzeko aukera izan behar duzu.
- 18.36 urterekin, biktimak jakinarazpena jaso zuen paketea hartzailearen jaulkipenera iritsi zela. 19.20an, paketeak eroslea hartu zuen:
- 19.32an, erasotzaileek pasahitza aldatutako posta elektronikoa erabiliz eta kontuari sarbide erraza lortzen diete:
- Profilerako sarrera VPN (Geolokalazioa - Bulgaria) erabiliz egiten da. Seguruenik, Avitok ez du batere arriskurik kudeatzeko sistema, edo ez du funtzionatzen:
- 19.34 urterekin, erasotzaileek 9 urte daramatzat telefono zenbakia. Zauritu honi buruzko SMS jakinarazpena ez da dator. Aldaketa berehala egiten da - zain egon gabe, hainbat ordutan, etab.
- 19.51 urtean, Avitok transakzioa ixten du, iruzurrak funtsak erretiratzeko erreferentzia jasotzen du.
- 19.52an, iruzurrak 119 mila errublo hartzen ditu zerbitzutik:
Kaltetutako erabiltzaileak honela komentatu zuen: "Gehienek horrelako zaurgarritasun horren existentziarik handiena eragiten du, Internetek erasotzaileek telefono zenbaki faltsuetatik deitu eta Avito zerbitzua nola deitu dezaketen arazo honi egiten dio erreferentzia. Laguntza teknikoak "Avito" independentean iruzurrak konturako sarbide osoa eman zuen, baina zerbitzuen ordezkariek errepikatzen dute soilik pasahitz fidagarriagoa asmatzea eta beste zentzugabekeria estandar bat kontatu zuela, arazoarekin zerikusirik ez zuena.
Eztabaidaren ondorioz, AVITO zerbitzuaren posizioa berdina izan da - ez dakigu nola hacked. Ulertu behar da goian deskribatutako metodoa dagokiona dela - "Avito" kontu bakoitza momentu gehiagorekin hackatu daiteke. Erabilitako informazio tresnak, erabiltzaileek ezin izango dute zaurgarritasun hori jasan ":
Material interesgarriagoa cisoclub.ru-n. Harpidetu gurekin: Facebook | Vk | Twitter | Instagram | Telegrama | Zen | Messenger | ICQ Berria | YouTube | Pultsua.