Az egyik felhasználó "Avito" elveszítette 119 ezer rubelt, amikor értékesíti a technológiát az Avito-Delivery Service segítségével. Az áldozat vizsgálata azt mutatta, hogy a szolgáltatásnak kritikus sebezhetősége van, mivel a támadók könnyen hozzáférhetnek az Avito-fiókhoz.
2020 végén a felhasználó "Avito" Alex.edt értékesítette a helyszínen egy sor színes korrekciós panelek 119 ezer rubel. A vevő megtalálta és felajánlotta, hogy kiadja az Avito-Delivery-t, amelyet elvégeztünk. Az árut sikeresen szállították a címzett városába, átvette a csomagot, és fizetett a megrendelésért.
Ugyanezen a nap este, az áldozat megpróbált bejelentkezni az Avito-be, de nem sikerült - a rendszer arról számolt be, hogy a felhasználó ilyen bejelentkezéssel, a telefonszám és az Avito e-mailje egyszerűen nem létezik. A CyberseCurity Alex.edt ismerős szakemberével együtt ellenőrizték a hálózati rönköt, a levélnaplókat, az IP-címeket, az engedélyezési időt, a bejelentkezési üzemeltetőket a hívások és az SMS, valamint sokkal több, de nem találtak semmit mutató rámutatásra.
A "Avito" technikai támogatást csak a következő napon helyreállította a fiókhoz való hozzáférést, és az áldozat látta, hogy egy teljesen idegen telefonszámot kötöttek a fiókhoz, amely továbbá nem volt megerősítve.
Az áldozat által végzett vizsgálat azt a tényt vezette, hogy felfedezték az Avito-szállítási szolgáltatás kritikai sebezhetőségét, amellyel a támadók könnyen hozzáférhetnek a fiókhoz.
Indítsa el a probléma leírását azzal a ténnyel, hogy az Avito szolgáltatás önállóan képezi a Boxberry számlát, amely jelzi az Avito-fiókhoz kötött eladó telefonszámát, a parcella nevét, valamint a teljes költségeket. Ennek eredményeképpen a parcella mozgása, a boxberry személyzet és sok más, aki részt vesz a logisztikai folyamatokban, megkapja a bizalmas információkat, amely lehetővé teszi számukra, hogy a szállítási időt a kibocsátási pontra, annak értékére, telefonszámára állítsanak be az eladónak:
De számos közlekedési vállalatban hasonló gyakorlatok vannak, így úgy tekinthető szokásosnak, de nem az Avito esetében. A probléma az, hogy avito hangsugárzási szolgáltatást nyújt (8-800-, stb.), Amennyiben a felhasználó azonosítható, ha egyszerűen hívja a fiókhoz kötött telefonszámot. Miután sikeres engedélyt adtunk a hangos technikai támogatás profiljával, bármilyen intézkedést tehet, beleértve az e-mail cím megváltoztatását.
A potenciális áldozatok (Avito felhasználók) számára egy másik probléma az, hogy az e-mail cím megváltoztatását az ilyen módszerrel a "csendes üzemmódban" végzik - a felhasználónak a régi e-mail címre vonatkozó értesítések nem kapnak. Ezért, ha az Avito engedélyezésére vonatkozó felhasználó "telefonszám + jelszó" csomagot alkalmaz, akkor nem tudja, hogy az e-mailje a fiókban helyettesítette-e a behatolókat.
Az érintett felhasználó Alex.edt képes volt helyreállítani az események kronológiáját:
- A támadók december 28-án 14.16-ban hívták a telefonszámot a hamis azonosítóval (ismétlődő számok az Alex.edt telefonszámában) avito támogatáshoz.
- 14.17., Avito technikai támogató tisztviselő, a jóváhagyott előírások után ellenőrizte a hívó telefonszámát, és számlatulajdonosként azonosította.
- A támadó megkérte a technikai támogató tisztviselőt, hogy változtassa meg az e-mail címet a másikba (a munkavállaló nem okoz gyanút, még akkor is, ha az e-mail nem változott 2011 óta, és a váltás iránti kérelmet a drága csomag állítólagos bemutatójának napján váltotta fel Avito-szállítás):
- Az "Avito" sikeres változása után értesítést küld az e-mail cím sikeresen cserélve. A legcsodálatosabb dolog az, hogy az értesítést csak az új e-mailre küldi, és semmi sem jön a régi:
- Ennek eredményeképpen a támadók (nem a technikai támogató tisztviselők "Avito" munkatársainak köszönhetően) mindent meg kell találnod, hogy meg kell találnod a pénzt.
- 18.36-ban az áldozat észrevette, hogy a csomag a címzett kibocsátásához jött. 19.20-ban a csomag vette a vevőt:
- 19.32-ben a támadók a korábban módosított e-mail címen jelezhetik a jelszót, és könnyű hozzáférést biztosítanak a fiókhoz:
- A profilbevitel a VPN (Geolocation - Bulgária) segítségével történik. A legvalószínűbb, az Avito egyáltalán nem rendelkezik kockázatkezelési rendszerrel, vagy nem működik, amennyire:
- 19.34-ben a támadók eltávolítják a telefonszámot, amelyet 9 évig kötöttek. SMS értesítés erről a sérültről nem jön. A váltás azonnal - készenléti üzemmód nélkül is történik, stb.
- 19.51-ben az Avito bezárja a tranzakciót, a csalóknak hivatkoznak a pénzeszközök visszavonására.
- 19.52-ben a csalók 119 ezer rubelt vesznek fel a szolgáltatásból:
Az érintett felhasználó a következőképpen kérte a következőket: "A leginkább befolyásolja az ilyen sebezhetőség létezését, annak ellenére, hogy az internet hatalmas számú görgővel rendelkezik, amelyet a támadók hívhatnak a hamis telefonszámoktól, és hogyan hívhatják meg az Avito szolgáltatás erre a problémare utal. Technikai támogatás "Avito" függetlenül nyújtott csalók teljes hozzáférést a fiókhoz, de a szolgáltató képviselői csak megismételték, hogy megbízhatóbb jelszót kellett kitalálni, és egy másik szabványos értelmetlennek kellett feltalálnia, amelynek semmi köze a problémához.
A vita eredményeképpen az Avito szolgáltatás helyzete ugyanezen maradt - nem tudjuk, hogyan szaggatott. Nyilvánvaló, hogy a fent leírt módszer a releváns - minden "Avito" fiókot további nyomatékkal lehet feltüntetni. És az összes használt információbiztonsági eszköz, a felhasználók nem tudják ellenállni ezt a biztonsági rést ":
További érdekes anyag a Cisoclub.ru-n. Feliratkozás ránk: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ új | YouTube | Impulzus.