Yksi käyttäjistä "Avito" menetti 119 tuhatta ruplaa myydään teknologiaan Avito-toimituspalvelun avulla. Uhrin tutkimus osoitti, että palvelulla on kriittinen haavoittuvuus, jonka ansiosta hyökkääjät voivat helposti käyttää kaikkia Avito-tiliä.
Vuoden 2020 lopussa käyttäjä "Avito" Alex.edt myydään sivustolla värejä korjauspaneeleja 119 tuhatta ruplaa. Ostaja löytyi ja tarjosi tarjoamaan sopimuksen Avito-toimituksen kautta, joka tehtiin. Tavarat toimitettiin menestyksekkäästi vastaanottajalle, hän otti paketin ja maksoi tilauksesta.
Samana päivänä illalla uhri yritti kirjautua Avitoon, mutta hän ei onnistunut - järjestelmä ilmoitti, että käyttäjä tällaisella kirjautumisella, puhelinnumero ja sähköpostiviesti yksinkertaisesti ei ole olemassa. Yhdessä tuttu asiantuntija CybersEcurity Alex.edt, he tarkistivat verkkolokit, post lokit, IP-osoitteet, valtuutusaika, puhelujen ja tekstiviestien kirjautumisoperaattorit sekä paljon enemmän, mutta he eivät löytäneet mitään osoittamaan hakata.
Tekninen tuki "Avito" palautettu pääsy tilille vain seuraavana päivänä ja uhri näki, että tilille on sidoksissa täysin vieraiden puhelinnumero, joka lisäksi ei vahvistettu.
Uhrin tekemä tutkimus johti siihen, että Avito-toimituspalvelun kriittinen haavoittuvuus havaittiin, minkä hyökkääjät voivat helposti käyttää kaikkia tiliä.
Aloita kuvaus ongelmasta, joka seisoo se, että Avito-palvelu muodostaa itsenäisesti Boxberry-laskun, joka ilmaisee Avito-tilille sidotun myyjän puhelinnumeron, joka on paketti, sekä kokonaiskustannukset. Tämän seurauksena pakettien, Boxberry-henkilöstön ja monien muiden logistiikkaprosesseihin osallistuvat muut ihmiset saavat luottamuksellisia tietoja, joiden avulla he voivat asettaa toimitusajan numeroon, sen arvoon, puhelinnumeroon Myyjä:
Monissa kuljetusyhtiöissä on kuitenkin samanlaisia käytäntöjä, joten sitä voidaan pitää tavanomaisena, mutta ei Avituksen tapauksessa. Ongelmana on, että Avituksella on ääni tekninen tukipalvelu (numero 8-800- jne.), Jossa käyttäjä voidaan tunnistaa, jos se vain kutsuu puhelinnumeroa, joka on sidottu tilille. Kun olet onnistunut valtuutus ääni tekniseen tukeen profiilin kanssa, voit tehdä kaikki toimet, mukaan lukien sähköpostiosoitteen muuttaminen.
Potentiaalisille uhreille (Avito-käyttäjät), toinen ongelma on, että sähköpostiosoitteen muutos tällaisen menetelmän avulla suoritetaan "Hiljaisessa tilassa" - Ei ilmoituksia käyttäjästä vanhaan sähköpostiosoitteeseen ei saa. Siksi, jos Avito-valtuutuksen käyttäjä soveltaa "puhelinnumeroa + salasana" -pakettia, niin se ei tiedä, onko sen sähköpostiviesti korvattu tunkeilijat.
Vaikuttanut käyttäjä Alex.edt pystyi palauttamaan tapahtumien kronologian:
- Hyökkääjät 28. joulukuuta klo 14.16 kutsutaan puhelinnumero väärennettynä tunnuksella (toistuvat numerot puhelinnumerolla Alex.edt) Avito-tukeen.
- Klo 14.17 Avito Tekninen tukipäällikkö hyväksyi hyväksyttyjen määräysten mukaisesti soittajan puhelinnumeron ja tunnisti sen tilinomistajana.
- Hyökkääjä pyysi teknistä tukea muuttamaan sähköpostiosoitetta toiselle (työntekijä ei aiheuttanut epäilyksiä, vaikka sähköposti ei muuttunut vuodesta 2011, ja siirtopyyntö korvattiin kalliiden pakettien väitetyn esityksen päivänä Avito-toimitus):
- Kun "Avito" onnistunut muutos lähettää ilmoituksen, että sähköpostiosoite on vaihdettu. Kummallinen asia on, että ilmoitus lähetetään vain uuteen sähköpostiviestiin, eikä mikään tule vanha:
- Tämän seurauksena hyökkääjät (ei ilman, että teknisen tukiviranomaisten työntekijöiden "apu" Avito ") sai kaiken, mitä tarvitset saada mahdollisuus koristella rahaa.
- Vuonna 18.36 uhri sai ilmoituksen, jonka mukaan paketti tuli vastaanottajan liikkeeseenlaskuun. 19.20, paketti otti ostaja:
- 19.32 hyökkääjät pudottavat salasanan aiemmin muunnetun sähköpostiviestin avulla ja pääset helposti tilille:
- Profiilitulon suoritetaan VPN: n (Geolocation - Bulgaria) avulla. Todennäköisesti Avituksella ei ollenkaan ole riskienhallintajärjestelmää, tai se ei toimi, koska se:
- 19.34 hyökkääjät poistavat puhelinnumeron, joka oli sidottu tilille 9 vuotta. SMS-ilmoitus tästä loukkaantui ei tule. Vaihto tehdään myös välittömästi - ilman valmiustilaa useita tunteja jne.
- 19.51, Avito sulkee tapahtuman, petokset saavat viittauksen varojen peruuttamiseen.
- Vuonna 19.52 Fraudsters kestää 119 tuhatta ruplaa palvelusta:
Vaikuttanut käyttäjä kommentoi seuraavasti: "Useimmat vaikuttavat todennäköisimmin tällaisen haavoittuvuuden olemassaolosta huolimatta siitä, että Internetissä on valtava määrä telineitä, joita hyökkääjät voivat soittaa väärennettyjä puhelinnumeroita ja miten Avito-palvelu viittaa tähän ongelmaan. Tekninen tuki "Avito" toimitti itsenäisesti petokset täyden pääsyn tilille, mutta palvelun edustajat toistuvat vain, että on välttämätöntä keksiä luotettavampi salasana ja kertoi toisen standardin hölynpölyä, jolla ei ollut mitään tekemistä ongelman kanssa.
Keskustelun seurauksena Avito-palvelun asema pysyi samana - emme tiedä, miten olet hakkeroitu. On ymmärrettävä, että edellä kuvattu menetelmä on asiaankuuluva - jokainen tili "Avito" voidaan hakata lisää vääntömomentilla. Ja kaikki käytetyt tietoturvatyökalut, käyttäjät eivät pysty kestämään tätä haavoittuvuutta ":
Mielenkiintoisempi materiaali Cisoclub.ru. Tilaa meille: Facebook | VK | Twitter | Instagram | Telegram Zen | Messenger | ICQ uusi | YouTube | Pulssi.