אחד המשתמשים "אביטו" איבד 119,000 רובל בעת מכירת הטכנולוגיה שלהם באמצעות שירות Avito-Delivery. החקירה של הקורבן הראה כי השירות יש פגיעות קריטית, בשל התוקפים יכולים בקלות לגשת לכל חשבון AVITO.
בסוף 2020, המשתמש "אביטו" Alex.edt נמכר באתר קבוצה של פאנלים תיקון צבע עבור 119,000 רובל. הקונה מצא והציע להוציא עסקה באמצעות משלוח אביטו, שנעשה. הסחורה נמסרה בהצלחה לעיר הנמען, הוא לקח את החבילה ושילם על ההזמנה.
בערב אותו יום, ניסה הקורבן להיכנס לאביטו, אבל הוא לא הצליח - המערכת דיווחה כי למשתמש עם כניסה כזו, מספר הטלפון והדוא"ל לאביטו פשוט לא קיים. יחד עם מומחה מוכר cybersecurity Alex.edt, הם בדקו יומני רשת, יומני דואר, כתובות IP, זמן הרשאה, אופרטורים התחברות עבור שיחות ו- SMS, כמו גם הרבה יותר, אבל הם לא יכלו למצוא שום דבר מצביע על מנסה לפרוץ.
תמיכה טכנית "אביטו" גישה משוחזרת לחשבון רק למחרת והקורבן ראה כי מספר טלפון חיצוני לחלוטין היה קשור לחשבון, אשר, יתר על כן, לא אושר.
החקירה שנערכה על ידי הקורבן הובילה לעובדה כי הפגיעות הקריטית של שירות Avito-Delivero התגלה, אשר התוקפים יכולים בקלות לגשת לכל חשבון.
התחל תיאור של הבעיה עומד עם העובדה כי שירות אביטו באופן עצמאי יוצר את חשבונית התיבה, אשר מציין את מספר הטלפון של המוכר קשור לחשבון Avito, שם של מה הוא בחבילה, כמו גם את העלות המלאה. כתוצאה מכך, בזמן התנועה של החבילה, אנשי התיבה ואנשים רבים אחרים המשתתפים בתהליכי הלוגיסטיקה מקבלים קבוצה של מידע סודי, המאפשר להם להגדיר את זמן המסירה לנקודת הבעיה, הערך שלה, מספר הטלפון שלו של המוכר:
אבל ישנם פרקטיקות דומות בחברות תחבורה רבות, ולכן זה יכול להיחשב כרגיל, אבל לא במקרה של אביטו. הבעיה היא כי אביטו יש שירות תמיכה טכנית קולית (מספר 8-800-, וכו '), שבו המשתמש יכול להיות מזוהה אם הוא פשוט קורא את מספר הטלפון כי הוא קשור לחשבון. לאחר אישור מוצלח בתמיכה טכנית קולית עם פרופיל, באפשרותך לבצע פעולות, כולל שינוי כתובת הדוא"ל.
עבור קורבנות פוטנציאליים (Avito משתמשים), בעיה נוספת היא כי שינוי כתובת הדוא"ל באמצעות שיטה כזו מבוצעת ב "מצב שקט" - לא הודעות של המשתמש לכתובת הדוא"ל הישנה לא יקבלו. לכן, אם המשתמש לאישור על אביטו חל על "מספר טלפון + סיסמה" צרור, אז זה לא יודע אם הדוא"ל שלה בחשבון החליף את הפולשים.
המשתמש המושפע Alex.edt היה מסוגל לשחזר את הכרונולוגיה של האירועים:
- התוקפים ב -28 בדצמבר ב -14.16 קראו למספר הטלפון עם מזהה מזויף (מספרים חוזרים במספר הטלפון של Alex.edt) כדי תמיכה אביטו.
- בשעה 14.17, קצין התמיכה הטכנית של אביטו, בעקבות התקנות המאושרות, בדק את מספר הטלפון של המתקשר וזיהה אותו כמחזיק חשבון.
- התוקף שאל את קצין התמיכה הטכנית כדי לשנות את כתובת הדוא"ל לאחרת (העובד לא גרם לחשד כי הדואר האלקטרוני לא השתנה מאז 2011, והבקשה לשינוי הוחלף ביום המצגת היקרה עם החבילה היקרה אביטו-משלוח):
- לאחר שינוי מוצלח של "אביטו" שולח הודעה כי כתובת הדוא"ל מוחלפת בהצלחה. הדבר המוזר ביותר הוא שההודעה נשלחת רק לדוא"ל החדש, ושום דבר לא מגיע לאדם הישן:
- כתוצאה מכך, התוקפים (לא בלי העזרה הנדיבה של עובדים של קציני תמיכה טכנית "אביטו") יש לך כל מה שאתה צריך כדי לקבל את ההזדמנות לקשט את הכסף.
- ב -18.36 קיבלה הקורבן הודעה שהחבילה הגיעה להנפקה של הנמען. בשנת 19.20, החבילה לקחה את הקונה:
- בשנת 19.32, התוקפים ירידה את הסיסמה באמצעות הדוא"ל שהשתנו בעבר ולקבל גישה קלה לחשבון:
- קלט הפרופיל מתבצע באמצעות VPN (Geolocation - בולגריה). סביר להניח, אביטו לא יש בכלל יש מערכת ניהול סיכונים, או שזה לא עובד כפי שהוא צריך:
- ב 19.34, התוקפים להסיר את מספר הטלפון, אשר היה קשור לחשבון במשך 9 שנים. הודעת SMS על פצוע זה לא באה. המשמרת נעשה גם מיד - ללא מצב המתנה בכמה שעות, וכו '
- בשנת 19.51, אביטו סוגר את העסקה, הרמאים מקבלים התייחסות לנסיגה של כספים.
- בשנת 19.52, הרמאים לוקחים 119,000 רובל מהשירות:
המשתמש המושפע העיר כדלקמן: "הכי משפיע על הסיכוי הטוב ביותר של קיומם של פגיעות כזו, למרות שהאינטרנט יש מספר עצום של רולים שתוקפים יכולים להתקשר ממספרי טלפון מזויפים וכיצד שירות אביטו מתייחס לבעיה זו. תמיכה טכנית "אביטו" סיפקה באופן עצמאי של רמאים גישה מלאה לחשבון, אבל נציגי השירות חזרו רק כי היה צורך להמציא סיסמה אמין יותר ואמר שטויות סטנדרטיות נוספות, אשר לא היה שום קשר לבעיה.
כתוצאה מהדיון, המיקום של שירות אביטו נשאר אותו הדבר - אנחנו לא יודעים איך אתה נפרץ. יש להבין כי השיטה המתוארת לעיל היא הרלוונטית - כל חשבון "אביטו" ניתן לפרוץ עם מומנט נוסף. וכל כלי אבטחת מידע בשימוש, המשתמשים לא יוכלו לעמוד בפגיעות זו ":
חומר מעניין יותר על cisoclub.ru. הירשם אלינו: פייסבוק | VK | טוויטר Instagram | מברק זן שליח ICQ חדש YouTube | דוֹפֶק.