એવિટો-ડિલિવરી સેવાનો ઉપયોગ કરીને તેમની ટેક્નોલૉજી વેચી ત્યારે યુઝર્સમાંનો એક "અવતારો" 119 હજાર રુબેલ્સ ગુમાવ્યો હતો. પીડિતની તપાસમાં દર્શાવવામાં આવ્યું છે કે સેવામાં એક ગંભીર નબળાઈ છે, જેના કારણે હુમલાખોરો કોઈપણ avito એકાઉન્ટને સરળતાથી ઍક્સેસ કરી શકે છે.
2020 ના અંતે, વપરાશકર્તા "એવિટો" એલેક્સેક્સ 119 હજાર રુબેલ્સ માટે રંગ સુધારણા પેનલ્સનો સમૂહ સાઇટ પર વેચ્યો. ખરીદનારને avito-deliver દ્વારા સોદો કરવા માટે ઓફર કરવામાં આવે છે, જે કરવામાં આવ્યું હતું. માલને પ્રાપ્તકર્તાના શહેરમાં સફળતાપૂર્વક પહોંચાડવામાં આવ્યા હતા, તેમણે પાર્સલ લીધી અને ઓર્ડર માટે ચૂકવણી કરી.
તે જ દિવસે સાંજે, પીડિતે એવિટોમાં લૉગ ઇન કરવાનો પ્રયાસ કર્યો, પરંતુ તે સફળ થયો નહીં - સિસ્ટમએ નોંધ્યું છે કે આવા લૉગિન સાથેનો વપરાશકર્તા, avito માટે ફોન નંબર અને ઇમેઇલ ફક્ત અસ્તિત્વમાં નથી. સાયબરક્યુરિટી એલેક્સમાં પરિચિત નિષ્ણાત સાથે, તેઓએ નેટવર્ક લોગ, મેલ લોગ, આઇપી સરનામાંઓ, અધિકૃતતાનો સમય, કૉલ્સ અને એસએમએસ માટે લૉગિન ઑપરેટર્સ, તેમજ વધુ વધુ, પરંતુ તેઓ હેક કરવાનો પ્રયાસ કરતી વખતે કંઈપણ શોધી શક્યા નહીં.
તકનીકી સપોર્ટ "avito" માત્ર બીજા દિવસે ખાતામાં ખાતામાં પ્રવેશની પુનઃસ્થાપિત કરવામાં આવી હતી અને પીડિતે જોયું કે એક સંપૂર્ણ અપ્રાસંગિક ફોન નંબર એકાઉન્ટ સાથે જોડાયો હતો, જે ઉપરાંત, પુષ્ટિ કરવામાં આવી ન હતી.
પીડિત દ્વારા હાથ ધરવામાં આવેલી તપાસથી એ હકીકત તરફ દોરી ગઈ કે એવિટો-ડિલિવરી સેવાની નિર્ણાયક નબળાઈ મળી આવી હતી, જેનાથી હુમલાખોરો કોઈપણ એકાઉન્ટને સરળતાથી ઍક્સેસ કરી શકે છે.
એવિટો સેવા સ્વતંત્ર રીતે બોક્સબેરી ઇન્વૉઇસ બનાવે છે તે હકીકત સાથે ઊભી સમસ્યાનું વર્ણન શરૂ કરો, જે એવિટો એકાઉન્ટથી જોડાયેલા વિક્રેતાની ટેલિફોન નંબર સૂચવે છે, તેમજ પાર્સલમાં શું છે તેનું નામ તેમજ સંપૂર્ણ ખર્ચ. આના પરિણામે, પાર્સલના ચળવળ સમયે, બૉક્સબેરીના સ્ટાફ અને લોજિસ્ટિક્સ પ્રક્રિયાઓમાં ભાગ લેતા ઘણા અન્ય લોકો ગોપનીય માહિતીનો સમૂહ પ્રાપ્ત કરે છે, જે તેમને સમસ્યા બિંદુ, તેના મૂલ્ય, ટેલિફોન નંબર પર ડિલિવરી સમય સેટ કરવા દે છે વિક્રેતા:
પરંતુ ઘણી પરિવહન કંપનીઓમાં સમાન પ્રથાઓ છે, તેથી તેને સામાન્ય માનવામાં આવે છે, પરંતુ એવિટોના કિસ્સામાં નહીં. સમસ્યા એ છે કે એવિટો પાસે વૉઇસ ટેક્નિકલ સપોર્ટ સર્વિસ (નંબર 8-800-, વગેરે) છે, જ્યાં વપરાશકર્તાને ઓળખી શકાય છે જો તે ફક્ત એકાઉન્ટ સાથે જોડાયેલ ફોન નંબરને બોલાવે છે. કોઈ પ્રોફાઇલ સાથે વૉઇસ ટેક્નિકલ સપોર્ટમાં સફળ અધિકૃતતા પછી, તમે ઇમેઇલ સરનામાંને બદલવા સહિત કોઈપણ ક્રિયાઓ કરી શકો છો.
સંભવિત પીડિતો (Avito વપરાશકર્તાઓ) માટે, બીજી સમસ્યા એ છે કે આવી પદ્ધતિનો ઉપયોગ કરીને ઇમેઇલ સરનામાંનો ફેરફાર "શાંત મોડ" માં કરવામાં આવે છે - વપરાશકર્તાના કોઈ સૂચનો જૂના ઇમેઇલ સરનામાંમાં પ્રાપ્ત થશે નહીં. તેથી, જો Avito પર અધિકૃતતા માટે વપરાશકર્તા "ફોન નંબર + પાસવર્ડ" બંડલ લાગુ કરે છે, તો તે જાણતું નથી કે એકાઉન્ટમાં તેના ઇમેઇલ ઘૂસણખોરોને બદલે છે કે નહીં.
અસરગ્રસ્ત વપરાશકર્તા એલેક્સ.ડીટી ઘટનાઓના કાલક્રમ પુનઃસ્થાપિત કરવામાં સક્ષમ હતો:
- 28 ડિસેમ્બરના રોજ હુમલાખોરોને 14.16 ના રોજ ફોન નંબર (એલેક્સ.ડી.ટી.ના ટેલિફોન નંબરમાં પુનરાવર્તિત નંબરો) સાથેનો ઉપયોગ એટોટો સપોર્ટ થયો હતો.
- 14.17, એવિટો ટેક્નિકલ સપોર્ટ ઑફિસર, મંજૂર નિયમોને અનુસરીને, કૉલરની ટેલિફોન નંબરની તપાસ કરી અને તેને એકાઉન્ટ ધારક તરીકે ઓળખ્યો.
- હુમલાકારે ટેક્નિકલ સપોર્ટ ઑફિસરને બીજાને ઇમેઇલ સરનામું બદલવા માટે કહ્યું હતું (કર્મચારીએ 2011 થી ઇમેઇલ બદલ્યું ન હતું, અને શિફ્ટની વિનંતીને મોંઘા પાર્સલની કથિત રજૂઆતના દિવસે બદલવામાં આવી હતી. એવિટો-ડિલિવરી):
- "એવિટો" ના સફળ પરિવર્તન પછી એક સૂચના મોકલે છે કે ઇમેઇલ સરનામું સફળતાપૂર્વક બદલવામાં આવે છે. અજાણ્યા વસ્તુ એ છે કે સૂચના ફક્ત નવા ઇમેઇલ પર જ મોકલવામાં આવે છે, અને જૂનામાં કશું જ નથી:
- પરિણામે, હુમલાખોરો (ટેક્નિકલ સપોર્ટ અધિકારીઓ "એવિટો" ના કર્મચારીઓની મદદ વિના નહીં) તમને પૈસા સજાવટ કરવાની તક મળી તે બધું જ મળી ગયું છે.
- 18.36 માં, પીડિતે એક નોટિસ પ્રાપ્ત કરી કે પાર્સલ પ્રાપ્તકર્તાના ઇશ્યૂમાં આવ્યો હતો. 19.20 માં, પેકેજ ખરીદનારને લીધો:
- 19.32 માં, હુમલાખોરો અગાઉ સંશોધિત ઇમેઇલનો ઉપયોગ કરીને પાસવર્ડને છોડી દે છે અને ખાતામાં સરળ ઍક્સેસ મેળવો:
- પ્રોફાઇલ ઇનપુટ વી.પી.એન. (ભૌગોલિક સ્થાન - બલ્ગેરિયા) નો ઉપયોગ કરીને કરવામાં આવે છે. મોટેભાગે સંભવતઃ, એવિટો પાસે જોખમ વ્યવસ્થાપન સિસ્ટમ નથી, અથવા તે કામ કરતું નથી કારણ કે તે જોઈએ:
- 19.34 માં, હુમલાખોરો ફોન નંબરને દૂર કરે છે, જે 9 વર્ષથી ખાતામાં જોડાયેલું હતું. આ ઇજાગ્રસ્ત એસએમએસ સૂચના આવતું નથી. શિફ્ટ પણ તાત્કાલિક બનાવવામાં આવે છે - ઘણા કલાકોમાં સ્ટેન્ડબાય મોડ વિના, વગેરે.
- 19.51 માં, એવિટો ટ્રાન્ઝેક્શનને બંધ કરે છે, કપટકારોએ ભંડોળના ઉપાડનો સંદર્ભ મળે છે.
- 19.52 માં, બનાવટીસ્ટર્સ સેવામાંથી 119 હજાર રુબેલ્સ લે છે:
અસરગ્રસ્ત વપરાશકર્તાએ આ બન્યું છે તે પ્રમાણે ટિપ્પણી કરી: "ઇન્ટરનેટમાં મોટી સંખ્યામાં રોલર્સ છે કે હુમલાખોરો નકલી ફોન નંબર્સ અને એવેટો સેવાનો કેવી રીતે કૉલ કરી શકે છે તે હકીકત હોવા છતાં, આ પ્રકારની નબળાઈના અસ્તિત્વની સૌથી વધુ અસર કરે છે. આ સમસ્યાનો ઉલ્લેખ કરે છે. તકનીકી સપોર્ટ "એવિટો" સ્વતંત્ર રીતે કપટકારોએ એકાઉન્ટની સંપૂર્ણ ઍક્સેસ પ્રદાન કરી હતી, પરંતુ સેવાના પ્રતિનિધિઓએ ફક્ત પુનરાવર્તન કર્યું હતું કે તે વધુ વિશ્વસનીય પાસવર્ડની શોધ કરવી જરૂરી હતું અને અન્ય માનક નોનસેન્સને કહ્યું હતું, જેને સમસ્યા સાથે કંઈ લેવાનું નથી.
ચર્ચાના પરિણામે, એવિટો સેવાની સ્થિતિ સમાન રહી - અમને ખબર નથી કે તમે કેવી રીતે હેક થયા હતા. તે સમજવું જોઈએ કે ઉપરોક્ત વર્ણવેલ પદ્ધતિ એ સંબંધિત છે - દરેક એકાઉન્ટ "એવિટો" વધુ ટોર્કથી હેક કરી શકાય છે. અને કોઈપણ માહિતી સુરક્ષા સાધનોનો ઉપયોગ થાય છે, વપરાશકર્તાઓ આ નબળાઈને ટકી શકશે નહીં ":
Cisoclub.ru પર વધુ રસપ્રદ સામગ્રી. અમને સબ્સ્ક્રાઇબ કરો: ફેસબુક | વી.કે. | પક્ષીએ | Instagram | ટેલિગ્રામ | ઝેન | મેસેન્જર | આઈસીક્યુ ન્યૂ | યુ ટ્યુબ | પલ્સ.