Jedan od korisnika "Avito" izgubio je 119 tisuća rubalja kada prodajete svoju tehnologiju koristeći uslugu Avito-dostave. Istraživanje žrtve pokazala je da usluga ima kritičnu ranjivost, zbog čega napadači mogu lako pristupiti bilo kojem Avito računu.
Na kraju 2020. godine korisnik "Avito" Alex.edt prodao je na web-lokaciji skup panela za korekciju boja za 119 tisuća rubalja. Kupac je pronašao i ponudio se za izdavanje posla putem Avito-isporuke, koji je učinio. Roba je uspješno isporučena gradu primatelja, uzeo je pošiljku i platio naredbu.
Uvečer istog dana žrtva se pokušala prijaviti na Avito, ali nije uspio - sustav je izvijestio da korisnik s takvom prijavom, telefonski broj i e-mail do Avito jednostavno ne postoji. Zajedno s poznatim specijalistom za cybersecurity Alex.edt, provjeravali su mrežne dnevnike, e-mail dnevnike, IP adrese, vrijeme autorizacije, prijavu operatera za pozive i SMS, kao i još mnogo toga, ali nisu mogli pronaći ništa pokazujući u pokušaju hakiranja.
Tehnička podrška "Avito" obnovljena pristup računu samo sutradan i žrtva je vidio da je potpuno vanjski telefonski broj bio povezan s računom, što, štoviše, nije potvrđeno.
Istraga koju je provela žrtva dovela je do činjenice da je otkrivena kritična ranjivost usluge dostavljanja, s kojima napadači mogu lako pristupiti svakom računu.
Pokrenite opis problema koji stoji s činjenicom da Avito usluga samostalno tvori fakturu Boxerberry, što ukazuje na telefonski broj prodavatelja vezanog za Avito račun, ime onoga što je u parceli, kao i puni trošak. Kao rezultat toga, u vrijeme kretanja paketa, boxerberry osoblje i mnogih drugih ljudi koji sudjeluju u logističkim procesima dobivaju skup povjerljivih informacija, koji im omogućuje da postavite vrijeme isporuke na točku izdavanja, njezinu vrijednost, telefonski broj prodavatelja:
Ali u mnogim transportnim tvrtkama postoje slične prakse, tako da se može smatrati uobičajenim, ali ne u slučaju Avito. Problem je u tome što Avito ima uslugu glasovne tehničke podrške (broj 8-800-, itd.), Gdje se korisnik može identificirati ako jednostavno naziva telefonski broj koji je povezan s računom. Nakon uspješnog odobrenja u glasovnoj tehničkoj podršci s profilom, možete napraviti bilo kakve radnje, uključujući promjenu adrese e-pošte.
Za potencijalne žrtve (Avito korisnici), drugi problem je da se promjena adrese e-pošte pomoću takve metode izvodi u "tihom načinu" - bez obavijesti korisnika na staru adresu e-pošte neće primiti. Stoga, ako korisnik za autorizaciju na Avito primjenjuje "telefonski broj + lozinku", onda ne zna je li njegova e-pošta na računu zamijenila uljeze.
Pogođeni korisnik Alex.edt bio je u mogućnosti vratiti kronologiju događaja:
- Napadači su 28. prosinca na 14.16 nazvali telefonski broj s lažnim ID-om (ponavljajući broj telefona Alex.edt) na Avito podršku.
- U 14.17, Avito tehničke podrške, nakon odobrenih propisa, provjerio je telefonski broj pozivatelja i identificirao ga kao vlasnika računa.
- Napadač je zatražio od tehničke podrške da promijeni adresu e-pošte drugom (zaposlenik nije uzrokovao sumnju iako se e-pošta ne promijeni od 2011., a zahtjev za pomak je zamijenjen na dan navodnog prezentacije skupog pošiljke Avito-isporuka):
- Nakon uspješne promjene "Avito" šalje obavijest da je adresa e-pošte uspješno zamijenjena. Najčudnija stvar je da se obavijest šalje samo na novu e-poštu, a ništa ne dolazi do starog:
- Kao rezultat toga, napadači (ne bez vrste zaposlenika službenika tehničke podrške "Avito") dobili su sve što trebate imati priliku ukrasiti novac.
- Na 18.36, žrtva je primila obavijest da je parcela došla do izdavanja primatelja. U 19.20, paket je preuzeo kupca:
- U 19.32, napadači padaju lozinku koristeći prethodno izmijenjenu e-poštu i dobiti jednostavan pristup računu:
- Ulaz profila provodi se pomoću VPN-a (Geolocation - Bugarska). Najvjerojatnije, Avito uopće ne ima sustav upravljanja rizicima, ili ne radi kao što bi trebao:
- Na 19.34 napadači uklanjaju telefonski broj, koji je bio povezan s računom 9 godina. SMS obavijest o ovoj ozlijeđenoj ne dolazi. Shift se također odmah napravi - bez pripravnog moda u nekoliko sati, itd.
- Godine 19.51, Avito zatvara transakciju, prevaranti dobivaju upućivanje na povlačenje sredstava.
- U 19.52, prevaranti uzimaju 119 tisuća rubalja iz usluge:
Pogođeni korisnik komentirao je kako slijedi događaj: "Najvjerojatnije utječe na najvjerojatnije od postojanja takve ranjivosti, unatoč činjenici da internet ima veliki broj valjaka koje napadači mogu nazvati s lažnih telefonskih brojeva i kako je Avito uslugu odnosi se na ovaj problem. Tehnička podrška "Avito" neovisno su osigurali prijevare puni pristup računu, ali su predstavnici usluga ponovili samo da je potrebno izmisliti pouzdaniju lozinku i ispričala još jednu standardnu glupost, koja nije imala nikakve veze s problemom.
Kao rezultat rasprave, položaj avito usluge ostao je isti - ne znamo kako ste bili hakirani. Treba podrazumijevati da je gore opisani postupak relevantan - svaki račun "Avito" može biti hakiran s daljnjim momentom. I bilo kakve alate za sigurnost informacija, korisnici neće moći izdržati ovu ranjivost ":
Zanimljiviji materijal na cisoklolub.ru. Pretplatite se na nas: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Novo | Youtube | Puls.