L'un des utilisateurs "Avito" a perdu 119 000 roubles lors de la vente de leur technologie à l'aide d'un service de livraison avito. L'enquête sur la victime a montré que le service ait une vulnérabilité critique, due auxquels les attaquants peuvent facilement accéder à tout compte Avito.
À la fin de 2020, l'utilisateur "Avito" Alex.edt a vendu sur le site un ensemble de panneaux de correction de couleur pour 119 000 roubles. L'acheteur a trouvé et a proposé de délivrer une affaire via la livraison avito, qui a été faite. Les marchandises ont été livrées avec succès à la ville du destinataire, il a pris le colis et payé pour la commande.
Dans la soirée du même jour, la victime a essayé de se connecter à Avito, mais il n'a pas réussi - le système a signalé que l'utilisateur avec un tel identifiant, le numéro de téléphone et le courrier électronique à Avito n'existent tout simplement pas. En collaboration avec un spécialiste familier de Cybersecurity Alex.edt, ils ont vérifié des journaux de réseau, des journaux de messagerie, des adresses IP, du temps d'autorisation, des opérateurs de connexion des appels et des SMS, ainsi que beaucoup plus, mais ils ne pouvaient trouver rien de pointe pour tenter de pirater.
Le support technique "Avito" a restauré un accès au compte seulement le lendemain et la victime a vu qu'un numéro de téléphone totalement étranger était attaché au compte, qui n'a d'ailleurs pas été confirmée.
L'enquête menée par la victime a conduit au fait que la vulnérabilité critique du service de livraison avito a été découverte, avec laquelle les attaquants peuvent facilement accéder à tout compte.
Commencez une description du problème debout avec le fait que le service Avito constitue indépendamment la facture Boxberry, qui indique le numéro de téléphone du vendeur attaché au compte Avito, le nom de ce qui se trouve dans le colis, ainsi que le coût total. En conséquence, au moment de la circulation du colis, du personnel Boxberry et de nombreuses autres personnes participant à des processus logistiques reçoivent un ensemble d'informations confidentielles, ce qui leur permet de définir le délai de livraison au point de publication, son numéro de téléphone, son numéro de téléphone. du vendeur:
Mais il existe des pratiques similaires dans de nombreuses sociétés de transport. Il peut donc être considéré comme d'habitude, mais pas dans le cas de l'avito. Le problème est que AVITO a un service de support technique vocal (numéro 8-800-, etc.), où l'utilisateur peut être identifié s'il appelle simplement le numéro de téléphone liés au compte. Après une autorisation réussie dans le support technique vocal avec un profil, vous pouvez effectuer des actions, y compris la modification de l'adresse électronique.
Pour les victimes potentielles (utilisateurs d'avito), un autre problème est que le changement d'adresse électronique à l'aide d'une telle méthode est effectué dans le "mode silencieux" - aucune notification de l'utilisateur à l'ancienne adresse électronique ne recevra pas. Par conséquent, si l'utilisateur d'autorisation sur Avito applique un «numéro de téléphone + mot de passe», il ne sait pas si son email dans le compte a remplacé les intrus.
L'utilisateur affecté Alex.EDT a été capable de restaurer la chronologie des événements:
- Les assaillants le 28 décembre au 14.16 ont appelé le numéro de téléphone avec le faux identifiant (numéros répétitifs du numéro de téléphone d'Alex.EDT) à Avito Support.
- Au 14.17, l'agent d'assistance technique d'Avito, à la suite du règlement approuvé, vérifié le numéro de téléphone de l'appelant et l'a identifié comme titulaire de compte.
- L'attaquant a demandé à l'agent d'assistance technique de modifier l'adresse e-mail à une autre (l'employé n'a pas causé de suspicion même si les courriels n'ont pas changé depuis 2011, et la demande de changement a été remplacée le jour de la présentation présumée du colis coûteux avec Avito-livraison):
- Après la réussite du changement d'avito envoie une notification que l'adresse e-mail est remplacée avec succès. La chose la plus étrange est que la notification est envoyée uniquement au nouvel email, et rien ne vient à l'ancien:
- En conséquence, les assaillants (non sans l'aide de l'aide des employés des agents de soutien technique "Avito") ont tout ce dont vous avez besoin pour avoir la possibilité de décorer l'argent.
- À 18 h 36, la victime a reçu un avis que le colis est venu à l'émission du destinataire. En 19.20, le colis a pris l'acheteur:
- En 19.32, les attaquants déposent le mot de passe à l'aide de l'e-mail précédemment modifié et permettent d'accéder facilement au compte:
- L'entrée de profil est effectuée à l'aide de VPN (géolocalisation - Bulgarie). Très probablement, Avito ne dispose pas du tout d'un système de gestion des risques, ou cela ne fonctionne pas comme il devrait:
- À 19h34, les attaquants suppriment le numéro de téléphone, qui a été lié au compte pendant 9 ans. La notification SMS sur cette blessure ne vient pas. Le décalage est également effectué immédiatement - sans mode veille en plusieurs heures, etc.
- En 19.51, Avito ferme la transaction, les fraudeurs obtiennent une référence au retrait des fonds.
- En 19.52, les fraudeurs prennent 119 000 roubles du service:
L'utilisateur concerné a commenté comme suit la situation: «Le plus affecte le plus probable l'existence d'une telle vulnérabilité, malgré le fait que Internet a un grand nombre de rouleaux que les attaquants peuvent appeler des faux numéros de téléphone et comment le service Avito fait référence à ce problème. SUPPORT TECHNIQUE "Avito" fournissait de manière indépendante l'accès complet au compte, mais les représentants de services ne répétaient que s'il était nécessaire d'inventer un mot de passe plus fiable et a déclaré à un autre non-sens standard, qui n'avait rien à voir avec le problème.
À la suite de la discussion, la position du service Avito est restée la même - nous ne savons pas comment vous avez été piraté. Il faut comprendre que la méthode décrite ci-dessus est la pertinente - chaque compte "Avito" peut être piraté avec un couple supplémentaire. Et des outils de sécurité d'informations utilisés, les utilisateurs ne seront pas en mesure de résister à cette vulnérabilité »:
Matériau plus intéressant sur cisoClub.ru. Abonnez-vous à nous: Facebook | Vk | Twitter | Instagram | Télégramme | Zen | Messager | ICQ nouveau | YouTube | Impulsion.