![વપરાશકર્તાએ 119 હજાર રુબેલ્સ ગુમાવ્યા છે. એવિટો-ડિલિવરી સેવાની નબળાઈને કારણે 7160_1](/userfiles/22/7160_1.webp)
એવિટો-ડિલિવરી સેવાનો ઉપયોગ કરીને તેમની ટેક્નોલૉજી વેચી ત્યારે યુઝર્સમાંનો એક "અવતારો" 119 હજાર રુબેલ્સ ગુમાવ્યો હતો. પીડિતની તપાસમાં દર્શાવવામાં આવ્યું છે કે સેવામાં એક ગંભીર નબળાઈ છે, જેના કારણે હુમલાખોરો કોઈપણ avito એકાઉન્ટને સરળતાથી ઍક્સેસ કરી શકે છે.
2020 ના અંતે, વપરાશકર્તા "એવિટો" એલેક્સેક્સ 119 હજાર રુબેલ્સ માટે રંગ સુધારણા પેનલ્સનો સમૂહ સાઇટ પર વેચ્યો. ખરીદનારને avito-deliver દ્વારા સોદો કરવા માટે ઓફર કરવામાં આવે છે, જે કરવામાં આવ્યું હતું. માલને પ્રાપ્તકર્તાના શહેરમાં સફળતાપૂર્વક પહોંચાડવામાં આવ્યા હતા, તેમણે પાર્સલ લીધી અને ઓર્ડર માટે ચૂકવણી કરી.
તે જ દિવસે સાંજે, પીડિતે એવિટોમાં લૉગ ઇન કરવાનો પ્રયાસ કર્યો, પરંતુ તે સફળ થયો નહીં - સિસ્ટમએ નોંધ્યું છે કે આવા લૉગિન સાથેનો વપરાશકર્તા, avito માટે ફોન નંબર અને ઇમેઇલ ફક્ત અસ્તિત્વમાં નથી. સાયબરક્યુરિટી એલેક્સમાં પરિચિત નિષ્ણાત સાથે, તેઓએ નેટવર્ક લોગ, મેલ લોગ, આઇપી સરનામાંઓ, અધિકૃતતાનો સમય, કૉલ્સ અને એસએમએસ માટે લૉગિન ઑપરેટર્સ, તેમજ વધુ વધુ, પરંતુ તેઓ હેક કરવાનો પ્રયાસ કરતી વખતે કંઈપણ શોધી શક્યા નહીં.
તકનીકી સપોર્ટ "avito" માત્ર બીજા દિવસે ખાતામાં ખાતામાં પ્રવેશની પુનઃસ્થાપિત કરવામાં આવી હતી અને પીડિતે જોયું કે એક સંપૂર્ણ અપ્રાસંગિક ફોન નંબર એકાઉન્ટ સાથે જોડાયો હતો, જે ઉપરાંત, પુષ્ટિ કરવામાં આવી ન હતી.
પીડિત દ્વારા હાથ ધરવામાં આવેલી તપાસથી એ હકીકત તરફ દોરી ગઈ કે એવિટો-ડિલિવરી સેવાની નિર્ણાયક નબળાઈ મળી આવી હતી, જેનાથી હુમલાખોરો કોઈપણ એકાઉન્ટને સરળતાથી ઍક્સેસ કરી શકે છે.
એવિટો સેવા સ્વતંત્ર રીતે બોક્સબેરી ઇન્વૉઇસ બનાવે છે તે હકીકત સાથે ઊભી સમસ્યાનું વર્ણન શરૂ કરો, જે એવિટો એકાઉન્ટથી જોડાયેલા વિક્રેતાની ટેલિફોન નંબર સૂચવે છે, તેમજ પાર્સલમાં શું છે તેનું નામ તેમજ સંપૂર્ણ ખર્ચ. આના પરિણામે, પાર્સલના ચળવળ સમયે, બૉક્સબેરીના સ્ટાફ અને લોજિસ્ટિક્સ પ્રક્રિયાઓમાં ભાગ લેતા ઘણા અન્ય લોકો ગોપનીય માહિતીનો સમૂહ પ્રાપ્ત કરે છે, જે તેમને સમસ્યા બિંદુ, તેના મૂલ્ય, ટેલિફોન નંબર પર ડિલિવરી સમય સેટ કરવા દે છે વિક્રેતા:
![વપરાશકર્તાએ 119 હજાર રુબેલ્સ ગુમાવ્યા છે. એવિટો-ડિલિવરી સેવાની નબળાઈને કારણે 7160_2](/userfiles/22/7160_2.webp)
પરંતુ ઘણી પરિવહન કંપનીઓમાં સમાન પ્રથાઓ છે, તેથી તેને સામાન્ય માનવામાં આવે છે, પરંતુ એવિટોના કિસ્સામાં નહીં. સમસ્યા એ છે કે એવિટો પાસે વૉઇસ ટેક્નિકલ સપોર્ટ સર્વિસ (નંબર 8-800-, વગેરે) છે, જ્યાં વપરાશકર્તાને ઓળખી શકાય છે જો તે ફક્ત એકાઉન્ટ સાથે જોડાયેલ ફોન નંબરને બોલાવે છે. કોઈ પ્રોફાઇલ સાથે વૉઇસ ટેક્નિકલ સપોર્ટમાં સફળ અધિકૃતતા પછી, તમે ઇમેઇલ સરનામાંને બદલવા સહિત કોઈપણ ક્રિયાઓ કરી શકો છો.
સંભવિત પીડિતો (Avito વપરાશકર્તાઓ) માટે, બીજી સમસ્યા એ છે કે આવી પદ્ધતિનો ઉપયોગ કરીને ઇમેઇલ સરનામાંનો ફેરફાર "શાંત મોડ" માં કરવામાં આવે છે - વપરાશકર્તાના કોઈ સૂચનો જૂના ઇમેઇલ સરનામાંમાં પ્રાપ્ત થશે નહીં. તેથી, જો Avito પર અધિકૃતતા માટે વપરાશકર્તા "ફોન નંબર + પાસવર્ડ" બંડલ લાગુ કરે છે, તો તે જાણતું નથી કે એકાઉન્ટમાં તેના ઇમેઇલ ઘૂસણખોરોને બદલે છે કે નહીં.
અસરગ્રસ્ત વપરાશકર્તા એલેક્સ.ડીટી ઘટનાઓના કાલક્રમ પુનઃસ્થાપિત કરવામાં સક્ષમ હતો:
- 28 ડિસેમ્બરના રોજ હુમલાખોરોને 14.16 ના રોજ ફોન નંબર (એલેક્સ.ડી.ટી.ના ટેલિફોન નંબરમાં પુનરાવર્તિત નંબરો) સાથેનો ઉપયોગ એટોટો સપોર્ટ થયો હતો.
![વપરાશકર્તાએ 119 હજાર રુબેલ્સ ગુમાવ્યા છે. એવિટો-ડિલિવરી સેવાની નબળાઈને કારણે 7160_3](/userfiles/22/7160_3.webp)
- 14.17, એવિટો ટેક્નિકલ સપોર્ટ ઑફિસર, મંજૂર નિયમોને અનુસરીને, કૉલરની ટેલિફોન નંબરની તપાસ કરી અને તેને એકાઉન્ટ ધારક તરીકે ઓળખ્યો.
- હુમલાકારે ટેક્નિકલ સપોર્ટ ઑફિસરને બીજાને ઇમેઇલ સરનામું બદલવા માટે કહ્યું હતું (કર્મચારીએ 2011 થી ઇમેઇલ બદલ્યું ન હતું, અને શિફ્ટની વિનંતીને મોંઘા પાર્સલની કથિત રજૂઆતના દિવસે બદલવામાં આવી હતી. એવિટો-ડિલિવરી):
- "એવિટો" ના સફળ પરિવર્તન પછી એક સૂચના મોકલે છે કે ઇમેઇલ સરનામું સફળતાપૂર્વક બદલવામાં આવે છે. અજાણ્યા વસ્તુ એ છે કે સૂચના ફક્ત નવા ઇમેઇલ પર જ મોકલવામાં આવે છે, અને જૂનામાં કશું જ નથી:
- પરિણામે, હુમલાખોરો (ટેક્નિકલ સપોર્ટ અધિકારીઓ "એવિટો" ના કર્મચારીઓની મદદ વિના નહીં) તમને પૈસા સજાવટ કરવાની તક મળી તે બધું જ મળી ગયું છે.
- 18.36 માં, પીડિતે એક નોટિસ પ્રાપ્ત કરી કે પાર્સલ પ્રાપ્તકર્તાના ઇશ્યૂમાં આવ્યો હતો. 19.20 માં, પેકેજ ખરીદનારને લીધો:
![વપરાશકર્તાએ 119 હજાર રુબેલ્સ ગુમાવ્યા છે. એવિટો-ડિલિવરી સેવાની નબળાઈને કારણે 7160_4](/userfiles/22/7160_4.webp)
- 19.32 માં, હુમલાખોરો અગાઉ સંશોધિત ઇમેઇલનો ઉપયોગ કરીને પાસવર્ડને છોડી દે છે અને ખાતામાં સરળ ઍક્સેસ મેળવો:
![વપરાશકર્તાએ 119 હજાર રુબેલ્સ ગુમાવ્યા છે. એવિટો-ડિલિવરી સેવાની નબળાઈને કારણે 7160_5](/userfiles/22/7160_5.webp)
- પ્રોફાઇલ ઇનપુટ વી.પી.એન. (ભૌગોલિક સ્થાન - બલ્ગેરિયા) નો ઉપયોગ કરીને કરવામાં આવે છે. મોટેભાગે સંભવતઃ, એવિટો પાસે જોખમ વ્યવસ્થાપન સિસ્ટમ નથી, અથવા તે કામ કરતું નથી કારણ કે તે જોઈએ:
![વપરાશકર્તાએ 119 હજાર રુબેલ્સ ગુમાવ્યા છે. એવિટો-ડિલિવરી સેવાની નબળાઈને કારણે 7160_6](/userfiles/22/7160_6.webp)
- 19.34 માં, હુમલાખોરો ફોન નંબરને દૂર કરે છે, જે 9 વર્ષથી ખાતામાં જોડાયેલું હતું. આ ઇજાગ્રસ્ત એસએમએસ સૂચના આવતું નથી. શિફ્ટ પણ તાત્કાલિક બનાવવામાં આવે છે - ઘણા કલાકોમાં સ્ટેન્ડબાય મોડ વિના, વગેરે.
- 19.51 માં, એવિટો ટ્રાન્ઝેક્શનને બંધ કરે છે, કપટકારોએ ભંડોળના ઉપાડનો સંદર્ભ મળે છે.
- 19.52 માં, બનાવટીસ્ટર્સ સેવામાંથી 119 હજાર રુબેલ્સ લે છે:
![વપરાશકર્તાએ 119 હજાર રુબેલ્સ ગુમાવ્યા છે. એવિટો-ડિલિવરી સેવાની નબળાઈને કારણે 7160_7](/userfiles/22/7160_7.webp)
અસરગ્રસ્ત વપરાશકર્તાએ આ બન્યું છે તે પ્રમાણે ટિપ્પણી કરી: "ઇન્ટરનેટમાં મોટી સંખ્યામાં રોલર્સ છે કે હુમલાખોરો નકલી ફોન નંબર્સ અને એવેટો સેવાનો કેવી રીતે કૉલ કરી શકે છે તે હકીકત હોવા છતાં, આ પ્રકારની નબળાઈના અસ્તિત્વની સૌથી વધુ અસર કરે છે. આ સમસ્યાનો ઉલ્લેખ કરે છે. તકનીકી સપોર્ટ "એવિટો" સ્વતંત્ર રીતે કપટકારોએ એકાઉન્ટની સંપૂર્ણ ઍક્સેસ પ્રદાન કરી હતી, પરંતુ સેવાના પ્રતિનિધિઓએ ફક્ત પુનરાવર્તન કર્યું હતું કે તે વધુ વિશ્વસનીય પાસવર્ડની શોધ કરવી જરૂરી હતું અને અન્ય માનક નોનસેન્સને કહ્યું હતું, જેને સમસ્યા સાથે કંઈ લેવાનું નથી.
ચર્ચાના પરિણામે, એવિટો સેવાની સ્થિતિ સમાન રહી - અમને ખબર નથી કે તમે કેવી રીતે હેક થયા હતા. તે સમજવું જોઈએ કે ઉપરોક્ત વર્ણવેલ પદ્ધતિ એ સંબંધિત છે - દરેક એકાઉન્ટ "એવિટો" વધુ ટોર્કથી હેક કરી શકાય છે. અને કોઈપણ માહિતી સુરક્ષા સાધનોનો ઉપયોગ થાય છે, વપરાશકર્તાઓ આ નબળાઈને ટકી શકશે નહીં ":
![વપરાશકર્તાએ 119 હજાર રુબેલ્સ ગુમાવ્યા છે. એવિટો-ડિલિવરી સેવાની નબળાઈને કારણે 7160_8](/userfiles/22/7160_8.webp)
![વપરાશકર્તાએ 119 હજાર રુબેલ્સ ગુમાવ્યા છે. એવિટો-ડિલિવરી સેવાની નબળાઈને કારણે 7160_9](/userfiles/22/7160_9.webp)
Cisoclub.ru પર વધુ રસપ્રદ સામગ્રી. અમને સબ્સ્ક્રાઇબ કરો: ફેસબુક | વી.કે. | પક્ષીએ | Instagram | ટેલિગ્રામ | ઝેન | મેસેન્જર | આઈસીક્યુ ન્યૂ | યુ ટ્યુબ | પલ્સ.