Un dos usuarios "Avito" perdeu 119 mil rublos ao vender a súa tecnoloxía usando o servizo de entrega de aviO. A investigación da vítima demostrou que o servizo ten unha vulnerabilidade crítica, debido a que os atacantes poden acceder facilmente a calquera conta de Avito.
A finais de 2020, o usuario "Avito" Alex.edt vendido no sitio un conxunto de paneis de corrección de cores por 119 mil rublos. O comprador atopado e ofrecido para emitir un acordo a través de avi-entrega, que foi feito. Os produtos foron entregados con éxito á cidade do destinatario, tomou a parcela e pagou a orde.
Á noite do mesmo día, a vítima intentou iniciar sesión a Avito, pero non ten éxito: o sistema informou que o usuario con tal inicio de sesión, o número de teléfono e o correo electrónico a Avito simplemente non existe. Xunto cun especialista familiar en Cybersecurity Alex.edt, verificaron rexistros de rede, rexistros de correo, enderezos IP, tempo de autorización, operadores de inicio de sesión para chamadas e SMS, así como moito máis, pero non puideron atopar nada apuntando a tentar piratear.
O soporte técnico "Avito" restaurou o acceso á conta só ao día seguinte e a vítima viu que un número de teléfono completamente estraño estaba ligado á conta, que, ademais, non foi confirmado.
A investigación realizada pola vítima levou ao feito de que se descubriu a vulnerabilidade crítica do servizo de entrega de aviO, co que os atacantes poden acceder facilmente a calquera conta.
Comezar unha descrición do problema de pé co feito de que o servizo Avito forma de forma independente a factura de Boxeberry, que indica que o número de teléfono do vendedor vinculado á conta de Avito, o nome do que está no paquete, así como o custo total. Como resultado diso, no momento do movemento do paquete, o persoal de Boxberry e moitas outras persoas que participan en procesos de loxística reciben un conxunto de información confidencial, que lles permite establecer o tempo de entrega ao punto de emisión, o seu valor, o número de teléfono do vendedor:
Pero hai prácticas similares en moitas empresas de transporte, polo que pode considerarse habitual, pero non no caso de Avito. O problema é que Avito ten un servizo de soporte técnico de voz (número 8-800-, etc.), onde se pode identificar o usuario se simplemente chama o número de teléfono que está ligado á conta. Despois da autorización exitosa en soporte técnico de voz cun perfil, pode facer todas as accións, incluído o cambio do enderezo de correo electrónico.
Para as vítimas potenciais (usuarios de AviTo), outro problema é que o cambio de enderezo de correo electrónico usando este método realízase no "modo silencioso": non recibirá notificacións do usuario ao enderezo de correo electrónico antigo. Polo tanto, se o usuario para a autorización en Avito aplica un paquete de "número de teléfono + contrasinal", non se sabe se o seu correo electrónico na conta substituíu aos intrusos.
O usuario afectado Alex.edt foi capaz de restaurar a cronoloxía dos acontecementos:
- Os atacantes o 28 de decembro a 14,16 chamaron o número de teléfono co ID falso (repetindo números no número de teléfono de Alex.edt) a AVITO.
- A 14,17, o oficial de soporte técnico de Avito, seguindo a normativa aprobada, verificou o número de teléfono do chamador e identificouno como titular da conta.
- O atacante pediu ao oficial de soporte técnico que cambie o enderezo de correo electrónico a outro (o empregado non causou sospeitas a pesar de que o correo electrónico non cambiou desde o 2011, ea solicitude de cambio foi substituída o día da presunta presentación do paquete caro con AVITO-ENTREGA):
- Despois do cambio exitoso de "Avito", envía unha notificación de que o enderezo de correo electrónico é substituído correctamente. O máis estraño é que a notificación é enviada só ao novo correo electrónico, e nada chega ao antigo:
- Como resultado, os atacantes (non sen a amable axuda dos empregados dos oficiais de apoio técnico "Avito") obtiveron todo o que precisa para ter a oportunidade de decorar o diñeiro.
- Aos 18,36, a vítima recibiu un aviso de que a parcela chegou á emisión do destinatario. En 19,20, o paquete tomou o comprador:
- En 19,32, os atacantes caen o contrasinal usando o correo electrónico previamente modificado e obter acceso fácil á conta:
- A entrada de perfil realízase usando VPN (Geolocalización - Bulgaria). Probablemente, Avito non ten nada que teña un sistema de xestión de risco, ou non funciona como debería:
- A 19,34, os atacantes eliminan o número de teléfono, que estaba vinculado á conta por 9 anos. A notificación por SMS sobre este ferido non veña. O cambio tamén se fai de inmediato - sen modo de espera en varias horas, etc.
- En 19,51, Avito pecha a transacción, os defraudadores reciben unha referencia á retirada dos fondos.
- En 19,52, os defraudadores levan 119 mil rublos do servizo:
O usuario afectado comentou como segue o que sucede: "O máis afecta o máis probable da existencia de tal vulnerabilidade, a pesar de que Internet ten unha gran cantidade de rodillos que os atacantes poden chamar desde números de teléfono falsos e como o servizo de aviadores refírese a este problema. Asistencia técnica "Avito" proporcionou de forma independente os defraudadores de acceso á conta, pero os representantes do servizo repetiron só que era necesario inventar un contrasinal máis fiable e contaron a outra tontería estándar, que non tiña nada que ver co problema.
Como resultado da discusión, a posición do servizo AVITO permaneceu igual: non sabemos como foi hackeado. Debe entenderse que o método descrito anteriormente é o relevante: cada conta "Avito" pode ser hackeada con máis par. E calquera ferramenta de seguridade da información empregada, os usuarios non poderán soportar esta vulnerabilidade ":
Material máis interesante sobre CISOCLUB.RU. Subscríbete a Estados Unidos: Facebook | VK | Twitter | Instagram | Telegram | Zen | Mensaxeiro | ICQ Novo | YouTube | Pulse.