एविटो-डिलीवरी सेवा का उपयोग करके अपनी तकनीक बेचते समय "अविटो" उपयोगकर्ताओं में से एक 119 हजार रूबल खो गया। पीड़ित की जांच से पता चला कि सेवा में एक महत्वपूर्ण भेद्यता है, जिसके कारण हमलावर आसानी से किसी भी एविटो खाते तक पहुंच सकते हैं।
2020 के अंत में, उपयोगकर्ता "Avito" alex.edt साइट पर 119 हजार rubles के लिए रंग सुधार पैनलों का एक सेट बेच दिया। खरीदार ने पाया और एविटो-डिलीवरी के माध्यम से सौदा जारी करने की पेशकश की, जो किया गया था। माल सफलतापूर्वक प्राप्तकर्ता शहर में पहुंचा दिया गया, उन्होंने पार्सल लिया और आदेश के लिए भुगतान किया।
उसी दिन की शाम को, पीड़ित ने एविटो में प्रवेश करने की कोशिश की, लेकिन वह सफल नहीं हुआ - सिस्टम ने बताया कि उपयोगकर्ता इस तरह के लॉगिन के साथ, फोन नंबर और एविटो को ईमेल बस मौजूद नहीं है। साइबर सुरक्षा एलेक्स में एक परिचित विशेषज्ञ के साथ, उन्होंने नेटवर्क लॉग, मेल लॉग, आईपी पते, प्राधिकरण समय, कॉल और एसएमएस के लिए लॉगिन ऑपरेटरों के साथ-साथ और भी अधिक जांच की, लेकिन उन्हें हैक करने की कोशिश में कुछ भी इंगित नहीं किया जा सका।
तकनीकी समर्थन "AVITO" केवल अगले दिन खाते में पहुंच को बहाल कर दिया और पीड़ित ने देखा कि एक पूरी तरह से बाहरी फोन नंबर खाते से जुड़ा हुआ था, जो इसके अलावा, पुष्टि नहीं की गई थी।
पीड़ित द्वारा आयोजित जांच ने इस तथ्य को जन्म दिया कि एविटो-डिलीवरी सेवा की महत्वपूर्ण भेद्यता की खोज की गई, जिसके साथ हमलावर आसानी से किसी भी खाते तक पहुंच सकते हैं।
इस तथ्य के साथ खड़े समस्या का विवरण शुरू करें कि AVITO सेवा स्वतंत्र रूप से बॉक्सबेरी चालान बनाती है, जो AVITO खाते से जुड़ी विक्रेता के टेलीफोन नंबर को इंगित करती है, पार्सल में क्या है, साथ ही पूर्ण लागत का नाम भी इंगित करता है। इसके परिणामस्वरूप, पार्सल के आंदोलन के समय, बॉक्सबेरी स्टाफ और लॉजिस्टिक प्रक्रियाओं में भाग लेने वाले कई अन्य लोगों को गोपनीय जानकारी का एक सेट प्राप्त होता है, जो उन्हें डिलीवरी समय को समस्या बिंदु, इसका मूल्य, टेलीफोन नंबर सेट करने की अनुमति देता है विक्रेता का:
लेकिन कई परिवहन कंपनियों में समान प्रथाएं हैं, इसलिए इसे सामान्य माना जा सकता है, लेकिन अविटो के मामले में नहीं। समस्या यह है कि AVITO की आवाज तकनीकी सहायता सेवा (संख्या 8-800-, आदि) है, जहां उपयोगकर्ता को पहचाना जा सकता है यदि यह केवल उस फोन नंबर को कॉल करता है जो खाते से जुड़ा हुआ है। प्रोफ़ाइल के साथ वॉयस तकनीकी सहायता में सफल प्राधिकरण के बाद, आप ईमेल पते को बदलने सहित कोई भी कार्य कर सकते हैं।
संभावित पीड़ितों (AVITO उपयोगकर्ताओं) के लिए, एक और समस्या यह है कि इस तरह की विधि का उपयोग करके ईमेल पते का परिवर्तन "शांत मोड" में किया जाता है - पुराने ईमेल पते पर उपयोगकर्ता की कोई अधिसूचना प्राप्त नहीं होगी। इसलिए, यदि AVITO पर प्राधिकरण के लिए उपयोगकर्ता "फोन नंबर + पासवर्ड" बंडल लागू करता है, तो यह नहीं जानता कि खाते में इसका ईमेल घुसपैठियों को बदल देता है या नहीं।
प्रभावित उपयोगकर्ता alex.edt घटनाओं की कालक्रम को बहाल करने में सक्षम था:
- 28 दिसंबर को 14.16 को हमलावरों ने फोन नंबर को नकली आईडी (एलेक्स के टेलीफोन नंबर में दोहराने वाली संख्या) के साथ एडिटो समर्थन के साथ फोन नंबर कहा।
- 14.17 पर, एवीआईटीओ तकनीकी सहायता अधिकारी, अनुमोदित नियमों के बाद, कॉलर के टेलीफोन नंबर की जांच की और इसे खाताधारक के रूप में पहचाना।
- हमलावर ने तकनीकी सहायता अधिकारी से ईमेल पते को दूसरे में बदलने के लिए कहा (कर्मचारी ने संदेह का कारण नहीं दिया था, भले ही ईमेल 2011 से नहीं बदले, और एक बदलाव के लिए अनुरोध को महंगा पार्सल की कथित प्रस्तुति के दिन बदल दिया गया था एविटो-डिलिवरी):
- "AVITO" के सफल परिवर्तन के बाद एक अधिसूचना भेजता है कि ईमेल पता सफलतापूर्वक प्रतिस्थापित किया गया है। सबसे अजीब बात यह है कि अधिसूचना केवल नए ईमेल पर भेजी जाती है, और पुराने व्यक्ति के लिए कुछ भी नहीं आता है:
- नतीजतन, हमलावर (तकनीकी सहायता अधिकारियों के कर्मचारियों की मदद के बिना नहीं "Avito") को पैसे को सजाने का अवसर रखने के लिए आपको सबकुछ मिला।
- 18.36 पर, पीड़ित को एक सूचना मिली कि पार्सल प्राप्तकर्ता के जारी करने के लिए आया था। 19.20 में, पैकेज ने खरीदार को लिया:
- 1 9 .32 में, हमलावर पहले संशोधित ईमेल का उपयोग करके पासवर्ड छोड़ देते हैं और खाते में आसान पहुंच प्राप्त करते हैं:
- प्रोफाइल इनपुट वीपीएन (भौगोलिक स्थान - बुल्गारिया) का उपयोग करके किया जाता है। सबसे अधिक संभावना है कि, एविटो में जोखिम प्रबंधन प्रणाली नहीं है, या यह काम नहीं करता है:
- 1 9 .34 पर, हमलावर फोन नंबर निकालते हैं, जो 9 साल के लिए खाते से बंधे थे। इस घायल के बारे में एसएमएस अधिसूचना नहीं आती है। शिफ्ट तुरंत भी बनाई गई है - कई घंटों में स्टैंडबाय मोड के बिना इत्यादि।
- 1 9 .51 में, एविटो लेनदेन बंद कर देता है, धोखाधड़ी करने वालों को धन वापस लेने का संदर्भ मिलता है।
- 1 9 .52 में, धोखाधड़ी सेवा से 119 हजार रूबल लेते हैं:
प्रभावित उपयोगकर्ता ने इस बात की टिप्पणी की: "सबसे अधिक इस तरह की भेद्यता के अस्तित्व की सबसे अधिक संभावना को प्रभावित करता है, इस तथ्य के बावजूद कि इंटरनेट में बड़ी संख्या में रोलर्स हैं जो हमलावर नकली फोन नंबर से कॉल कर सकते हैं, और एविटो सेवा कैसे कॉल कर सकते हैं इस समस्या को संदर्भित करता है। तकनीकी सहायता "Avito" स्वतंत्र रूप से धोखाधड़ी करने वालों को खाते में पूर्ण पहुंच प्रदान करता है, लेकिन सेवा प्रतिनिधियों ने केवल दोहराया कि एक और विश्वसनीय पासवर्ड का आविष्कार करना आवश्यक था और एक और मानक बकवास को बताया, जिसकी समस्या से कोई लेना-देना नहीं था।
चर्चा के परिणामस्वरूप, एविटो सेवा की स्थिति एक ही बनी रही - हम नहीं जानते कि आप कैसे हैक किए गए थे। यह समझा जाना चाहिए कि ऊपर वर्णित विधि प्रासंगिक है - प्रत्येक खाता "AVITO" को आगे टोक़ के साथ हैक किया जा सकता है। और किसी भी सूचना सुरक्षा उपकरण का उपयोग किया जाता है, उपयोगकर्ता इस भेद्यता का सामना नहीं कर पाएंगे ":
Cisoclub.ru पर अधिक रोचक सामग्री। हमारी सदस्यता लें: फेसबुक | वीके | ट्विटर | इंस्टाग्राम | तार | जेन | मैसेंजर | आईसीक्यू नया | यूट्यूब | पल्स।