«Ավիտո» օգտագործողներից մեկը կորցրեց 119 հազար ռուբլի, երբ իրենց տեխնոլոգիան վաճառում է ավիտո-առաքման ծառայություն: Տուժածի հետաքննությունը ցույց տվեց, որ ծառայությունն ունի կրիտիկական խոցելիություն, որի պատճառով հարձակվողները կարող են հեշտությամբ մուտք գործել AVITO- ի ցանկացած հաշիվ:
2020-ի վերջին օգտագործողը «AVITO» Alex.edt- ը կայքում վաճառվել է գունային շտկման վահանակների մի շարք 119 հազար ռուբլի: Գնորդը գտավ եւ առաջարկեց գործարք թողարկել AVITO-Delivery- ի միջոցով, որն արվել է: Ապրանքները հաջողությամբ հանձնվեցին ստացողի քաղաքին, նա վերցրեց ծանրոցը եւ վճարեց պատվերի համար:
Նույն օրվա երեկոյան տուժածը փորձեց մուտք գործել Ավիտո, բայց նա չհաջողվեց. Համակարգը հաղորդել է, որ օգտագործողը նման մուտքով եւ Avito- ին էլ. Փոստով, պարզապես գոյություն չունի: Cybers արտարապետության ծանոթ մասնագետի հետ միասին ստուգել են ցանցային տեղեկամատյանները, փոստային տեղեկամատյանները, IP հասցեները, թույլտվության ժամանակը, զանգերի եւ SMS- ի մուտքի օպերատորները, բայց դրանք չէին կարողացել գտնել որեւէ բան, որը ցույց չէր տալիս, որ փորձում էր փորձել թալանել:
«Ավիտո» տեխնիկական աջակցությունը վերականգնել է հաշիվ մուտք դեպի հաշիվ միայն հաջորդ օրը, եւ տուժողը տեսավ, որ բոլորովին արտառոց հեռախոսահամարը կապված էր հաշվի հետ, որը, ավելին, չի հաստատվել:
Տուժածի կողմից իրականացված հետաքննությունը հանգեցրեց այն փաստի, որ հայտնաբերվել է AVITO-Delivery ծառայության կրիտիկական խոցելիությունը, որի հետ հարձակվողները կարող են հեշտությամբ մուտք գործել ցանկացած հաշիվ:
Սկսեք այն խնդրի նկարագրությունը, որում կանգնած է այն փաստը, որ AVITO ծառայությունը ինքնուրույն ձեւավորում է բռնցքամարտի հաշիվ-ապրանքագիր, որը ցույց է տալիս վաճառողի հեռախոսահամարը, որը կապված է AVITO հաշվի հետ, ինչպես նաեւ ծանրոցում, ինչպես նաեւ ամբողջ արժեքը: Դրա արդյունքում, ծանրոցների տեղաշարժի պահին, բռնցքամարտիկների աշխատակազմը եւ լոգիստիկ գործընթացներին մասնակցող շատ այլ անձինք ստանում են գաղտնի տեղեկատվության մի շարք, որոնք թույլ են տալիս առաքման ժամանակը դնել հարցի կետին, դրա արժեքի, հեռախոսի համարին վաճառողի կողմից.
Բայց շատ տրանսպորտային ընկերություններում կան նմանատիպ պրակտիկա, ուստի այն կարելի է համարել սովորական, բայց ոչ Ավիտոյի դեպքում: Խնդիրն այն է, որ AVITO- ն ունի ձայնային տեխնիկական աջակցության ծառայություն (համարը 8-800- եւ այլն), որտեղ օգտագործողը կարող է նույնականացվել, եթե այն պարզապես զանգում է հաշվի հետ կապված հեռախոսահամարը: Ձայնային տեխնիկական աջակցության համար հաջող թույլտվությունից հետո կարող եք որեւէ գործողություն կատարել, ներառյալ էլփոստի հասցեն փոխելը:
Հնարավոր տուժածների համար (AVITO օգտագործողներ), մեկ այլ խնդիր է, որ էլ.փոստի հասցեի փոփոխությունը նման մեթոդի միջոցով իրականացվում է «Հանգիստ ռեժիմում». Հետեւաբար, եթե AVITO- ի թույլտվության համար օգտագործողը կիրականացնի «Հեռախոսահամար + գաղտնաբառ» փաթեթը, ապա չգիտի, թե արդյոք դրա էլ. Փոստը փոխարինեց ներխուժողներին:
Տուժած օգտագործողը Alex.edt- ը կարողացավ վերականգնել իրադարձությունների ժամանակագրությունը.
- Հարձակվողները դեկտեմբերի 28-ին, ժամը 14.16-ին հեռախոսահամարը անվանել են կեղծ ID- ի (Alex.edt հեռախոսահամարով կրկնող թվերը) AVITO աջակցության համար:
- 14.17-ին, AVITO տեխնիկական աջակցության պատասխանատու, հաստատված կանոնակարգերին հետեւելով, ստուգեց զանգահարողի հեռախոսահամարը եւ այն նույնացրեց որպես հաշիվ:
- Հարձակվողը տեխնիկական աջակցության պատասխանատուին խնդրել է փոխել էլփոստի հասցեն մյուսին (աշխատողը կասկած չի առաջացրել, չնայած որ էլեկտրոնային փոստը չի փոխվել, եւ հերթափոխի ներկայացման օրը փոխարինվել է թանկարժեք ծանրոցների ներկայացման օրը Ավիտո-առաքում):
- «Ավիտո» -ի հաջող փոփոխությունից հետո ծանուցում է ուղարկում, որ էլ. Փոստի հասցեն հաջողությամբ փոխարինվում է: Ամենաազնիվն այն է, որ ծանուցումն ուղարկվում է միայն նոր էլ. Փոստով, եւ ոչինչ չի հասնի հինին.
- Արդյունքում, հարձակվողները (ոչ առանց տղամարդկանց աջակցության աշխատակիցների աշխատողների տեսակի օգնության «Ավիտո») ստացան այն ամենը, ինչ դուք պետք է ունենաք գումարը զարդարելու հնարավորություն:
- Ժամը 18.36-ին զոհը ծանուցում ստացավ, որ ծանրոցը ստացավ ստացողի տրամադրումը: 19.20-ին փաթեթը վերցրեց գնորդին.
- 19.32-ին հարձակվողները գցում են գաղտնաբառը, օգտագործելով նախկինում փոփոխված էլ.փոստը եւ հեշտությամբ մուտք ունենալ հաշիվ.
- Պրոֆիլային մուտքագրումը իրականացվում է VPN (GEOLOCOTOR - Բուլղարիա) միջոցով: Ամենայն հավանականությամբ, AVITO- ն ընդհանրապես չունի ռիսկերի կառավարման համակարգ, կամ այն չի գործում այնպես, ինչպես պետք է.
- 19.34-ին հարձակվողները հեռացնում են հեռախոսահամարը, որը կապված էր 9 տարի հաշվին: Այս վիրավորների մասին SMS ծանուցումը չի գալիս: Տեղափոխումը կատարվում է նաեւ անմիջապես `առանց սպասման ռեժիմի մի քանի ժամվա ընթացքում եւ այլն:
- 19.51-ին AVITO- ն փակում է գործարքը, կեղծարարները հղում են ստանում միջոցների դուրսբերմանը:
- 19.52-ին խարդախները ծառայությունից վերցնում են 119 հազար ռուբլի.
Տուժած օգտագործողը մեկնաբանեց հետեւյալը. «Ամենաշատը ազդում է այդպիսի խոցելիության գոյության ամենայն հավանականությամբ, չնայած այն բանին, որ ինտերնետը կարող է հսկայական թվով զանգահարել վերաբերում է այս խնդրին: Տեխնիկական աջակցություն «Ավիտո» ինքնուրույն տրամադրված կեղծարարներին լիարժեք մուտք գործեք հաշվին, բայց ծառայության ներկայացուցիչները կրկնել են միայն այն մասին, որ անհրաժեշտ է ավելի հուսալի գաղտնաբառ հորինել:
Քննարկման արդյունքում AVITO ծառայության դիրքորոշումը մնաց նույնը. Մենք չգիտենք, թե ինչպես եք թալանել: Հասկացվի, որ վերը նկարագրված մեթոդը համապատասխան է. Յուրաքանչյուր հաշիվ «Ավիտո» -ը կարող է թալանվել հետագա ոլորող մոմենտով: Եւ օգտագործված ցանկացած տեղեկատվական անվտանգության գործիք, օգտվողները չեն կարողանա դիմակայել այս խոցելիությանը ».
Ավելի հետաքրքիր նյութեր cisoclub.ru- ում: Բաժանորդագրվել մեզ. Facebook | Vk | Twitter | Instagram | Telegram | Զեն | Մեսսենջեր | ICQ NEW | YouTube | Պուլս