یکی از کاربران "Avito" در هنگام فروش تکنولوژی خود با استفاده از سرویس Avito-Delivery، 119 هزار روبل را از دست داد. بررسی قربانی نشان داد که این سرویس یک آسیب پذیری حیاتی دارد، به این دلیل که مهاجمان به راحتی می توانند به حساب Avito دسترسی پیدا کنند.
در پایان سال 2020، کاربر "Avito" Alex.edt به فروش می رسد در سایت مجموعه ای از پانل های تصحیح رنگ برای 119 هزار روبل. خریدار یافت و پیشنهاد کرد که معامله ای را از طریق تحویل آویو انجام دهد، که انجام شد. این کالا با موفقیت به شهر گیرنده تحویل داده شد، او بسته را گرفت و به منظور سفارش پرداخت کرد.
در شب همان روز، قربانی سعی کرد به Avito وارد شود، اما او موفق نشد - سیستم گزارش داد که کاربر با چنین ورود، شماره تلفن و ایمیل به Avito به سادگی وجود ندارد. همراه با متخصص آشنا در Cybersecurity Alex.edt، آنها سیاهههای مربوط به شبکه، سیاهههای مربوط به پست الکترونیکی، آدرس های IP، زمان مجاز، اپراتورهای ورود به سیستم ها و اس ام اس ها را بررسی کردند، و همچنین بیشتر، اما آنها نمیتوانند چیزی را در تلاش برای هک کردن پیدا کنند.
پشتیبانی فنی "Avito" دسترسی به حساب را تنها روز بعد بازسازی کرد و قربانی متوجه شد که یک شماره تلفن کاملا بیرونی به حساب متصل شده است، که علاوه بر این تایید نشده است.
تحقیقات انجام شده توسط قربانی منجر به این واقعیت شد که آسیب پذیری بحرانی خدمات تحویل Avito-Delivery کشف شد، که با آن مهاجمان به راحتی می توانند به هر حساب دسترسی پیدا کنند.
شروع توضیحات مشکل با این واقعیت که سرویس Avito به طور مستقل فاکتور جعبه جعبه را تشکیل می دهد، که نشان می دهد شماره تلفن فروشنده به حساب Avito، نام آنچه در بسته است، و همچنین هزینه کامل است. به عنوان یک نتیجه از این، در زمان حرکت بسته، کارکنان Boxberry و بسیاری از افراد دیگر شرکت کننده در فرایندهای تدارکات، مجموعه ای از اطلاعات محرمانه را دریافت می کنند که به آنها اجازه می دهد زمان تحویل را به نقطه مسئله، ارزش آن، شماره تلفن تعیین کنند از فروشنده:
اما در بسیاری از شرکت های حمل و نقل، شیوه های مشابهی وجود دارد، بنابراین می توان آن را به طور معمول در نظر گرفت، اما نه در مورد آیتو. مشکل این است که Avito یک سرویس پشتیبانی فنی صوتی (شماره 8-800- و غیره)، جایی که کاربر را می توان شناسایی کرد، اگر آن را به سادگی شماره تلفن را که به حساب مرتبط است، نامیده می شود. پس از مجوز موفقیت آمیز در پشتیبانی فنی صوتی با یک نمایه، می توانید هر اقدام را انجام دهید، از جمله تغییر آدرس ایمیل.
برای قربانیان بالقوه (کاربران Avito)، مشکل دیگری این است که تغییر آدرس ایمیل با استفاده از این روش در "حالت آرام" انجام می شود - هیچ اطلاعیه ای از کاربر به آدرس ایمیل قدیمی دریافت نمی شود. بنابراین، اگر کاربر برای مجوز در Avito یک بسته نرم افزاری "شماره تلفن + رمز عبور" را اعمال کند، پس از آن نمی داند که آیا ایمیل آن در حساب جایگزین مزاحمان شده است.
کاربر آسیب دیده Alex.edt قادر به بازگرداندن زمانبندی وقایع بود:
- مهاجمان در روز 28 دسامبر در 14.16 شماره تلفن را با شناسه جعلی نامیده اند (تعداد تکرار در شماره تلفن Alex.edt) به پشتیبانی Avito.
- در 14.17، افسر پشتیبانی فنی Avito، پس از مقررات تایید شده، شماره تلفن تماس گیرنده را بررسی کرد و آن را به عنوان دارنده حساب شناسایی کرد.
- مهاجم از افسر پشتیبانی فنی خواست تا آدرس ایمیل را به دیگری تغییر دهد (کارمند باعث سوء ظن نشد، هرچند ایمیل از سال 2011 تغییر نکرده است و درخواست تغییر در روز ارائه شده در روز ارائه شده از بسته گران قیمت جایگزین شد Avito-Delivery):
- پس از تغییر موفقیت آمیز "Avito" یک اعلان ارسال می کند که آدرس ایمیل با موفقیت جایگزین می شود. عجیب ترین چیز این است که اعلان فقط به ایمیل جدید ارسال می شود، و هیچ چیز به یکی از قدیمی ها نمی آید:
- در نتیجه، مهاجمان (بدون کمک به کارکنان افسران پشتیبانی فنی "Avito") همه چیز را که شما نیاز دارید تا بتوانید پول را تزئین کنید، دریافت کنید.
- در 18.36، قربانی متوجه شد که بسته به صدور گیرنده رسید. در سال 19.20، بسته خریدار را گرفت:
- در 19.32، مهاجمان رمز عبور را با استفاده از ایمیل قبلا اصلاح شده رها کرده و دسترسی آسان به حساب را دریافت می کنند:
- ورودی نمایه با استفاده از VPN (Geologocation - بلغارستان) انجام می شود. به احتمال زیاد، Avito به هیچ وجه سیستم مدیریت ریسک ندارد، یا آن را به عنوان آن کار نمی کند:
- در 19.34، مهاجمان شماره تلفن را حذف کردند که به مدت 9 سال به حساب اشاره شده بود. اطلاع رسانی SMS در مورد این آسیب دیده نمی شود. تغییر نیز بلافاصله صورت می گیرد - بدون حالت آماده به کار در چند ساعت و غیره
- در سال 19.51، آیتو این معامله را بسته می کند، کلاهبرداران به عقب نشینی صندوق ها اشاره می کنند.
- در سال 19.52، کلاهبرداران 119 هزار روبل از خدمات را می گیرند:
کاربر آسیب دیده به شرح زیر اتفاق می افتد: "بیشترین تاثیر را بیشتر از وجود چنین آسیب پذیری، به رغم این واقعیت است که اینترنت تعداد زیادی از غلطک ها را دارد که مهاجمان می توانند از شماره تلفن های جعلی تماس بگیرند و نحوه خدمات آیتو به این مشکل اشاره دارد. پشتیبانی فنی "Avito" به طور مستقل کلاهبرداران دسترسی کامل به حساب را ارائه داد، اما نمایندگان خدمات تنها تکرار کردند که لازم بود رمز عبور قابل اعتماد تر را اختراع کنیم و به یک مزخرف استاندارد دیگر گفت که هیچ مشکلی با مشکل نداشت.
به عنوان یک نتیجه از بحث، موقعیت خدمات آیتوو باقی مانده است - ما نمی دانیم که چگونه شما هک شده است. لازم به ذکر است که روش شرح داده شده در بالا مربوط به آن است - هر حساب "Avito" را می توان با گشتاور بیشتر هک کرد. و هر گونه ابزار امنیتی اطلاعات مورد استفاده، کاربران قادر به مقاومت در برابر این آسیب پذیری نیستند ":
مواد جالب تر در Cisoclub.ru. مشترک شدن در ایالات متحده: فیس بوک | VK | توییتر | نمایش مشخصات عمومی | تلگرام | ذن | مسنجر | ICQ جدید | یوتیوب | نبض.