Salah satu pengguna "Avito" kehilangan 119 ribu rubel saat menjual teknologi mereka menggunakan layanan pengiriman Avito. Investigasi korban menunjukkan bahwa layanan memiliki kerentanan kritis, karena penyerang dapat dengan mudah mengakses akun Avito.
Pada akhir 2020, pengguna "Avito" Alex.EDt dijual di situs serangkaian panel koreksi warna untuk 119 ribu rubel. Pembeli menemukan dan menawarkan untuk mengeluarkan kesepakatan melalui pengiriman Avito, yang dilakukan. Barang-barang tersebut berhasil disampaikan ke kota penerima, ia mengambil parsel dan membayar pesanan.
Pada malam hari yang sama, korban mencoba masuk ke Avito, tetapi ia tidak berhasil - sistem melaporkan bahwa pengguna dengan login seperti itu, nomor telepon dan email ke Avito tidak ada. Bersama dengan spesialis yang akrab di cybersecurity alex.edt, mereka memeriksa log jaringan, log surat, alamat IP, waktu otorisasi, operator login untuk panggilan dan SMS, serta lebih banyak lagi, tetapi mereka tidak dapat menemukan sesuatu yang menunjuk untuk mencoba meretas.
Dukungan teknis "Avito" mengembalikan akses ke akun hanya pada hari berikutnya dan korban melihat bahwa nomor telepon yang sama sekali asing diikat ke akun, yang, apalagi, tidak dikonfirmasi.
Investigasi yang dilakukan oleh korban mengarah pada kenyataan bahwa kerentanan penting dari layanan pengiriman Avito ditemukan, dengan mana penyerang dapat dengan mudah mengakses akun apa pun.
Mulai deskripsi masalah yang berdiri dengan fakta bahwa layanan Avito secara independen membentuk Faktur Boxberry, yang menunjukkan nomor telepon dari penjual yang diikat ke akun Avito, nama apa yang ada di parsel, serta biaya penuh. Sebagai hasil dari ini, pada saat pergerakan paket, staf boxberry dan banyak orang lain yang berpartisipasi dalam proses logistik menerima serangkaian informasi rahasia, yang memungkinkan mereka untuk mengatur waktu pengiriman ke titik masalah, nilainya, nomor telepon dari penjual:
Tetapi ada praktik serupa di banyak perusahaan transportasi, sehingga dapat dianggap biasa, tetapi tidak dalam kasus Avito. Masalahnya adalah bahwa Avito memiliki layanan dukungan teknis suara (nomor 8-800-, dll.), Di mana pengguna dapat diidentifikasi jika itu hanya memanggil nomor telepon yang diikat ke akun. Setelah otorisasi yang berhasil dalam dukungan teknis suara dengan profil, Anda dapat melakukan tindakan apa pun, termasuk mengubah alamat email.
Untuk calon korban (pengguna Avito), masalah lain adalah bahwa perubahan alamat email menggunakan metode seperti itu dilakukan dalam "mode tenang" - tidak ada pemberitahuan pengguna ke alamat email lama tidak akan menerima. Oleh karena itu, jika pengguna untuk otorisasi pada Avito menerapkan bundel "nomor telepon + kata sandi", maka tidak tahu apakah emailnya di akun menggantikan penyusup.
Pengguna yang terkena dampak Alex.edt mampu mengembalikan kronologi peristiwa:
- Para penyerang pada 28 Desember pukul 14.16 menelepon nomor telepon dengan ID palsu (berulang nomor di nomor telepon Alex.EDT) ke dukungan Avito.
- Pada 14,17, Avito Technical Dukungan Officer, mengikuti peraturan yang disetujui, memeriksa nomor telepon penelepon dan mengidentifikasinya sebagai pemegang akun.
- Penyerang meminta petugas pendukung teknis untuk mengubah alamat email ke yang lain (karyawan tidak menyebabkan kecurigaan meskipun email tidak berubah sejak 2011, dan permintaan shift diganti pada hari dugaan presentasi dengan paket mahal dengan PENGIRIMAN AVITO):
- Setelah keberhasilan perubahan "Avito" mengirimkan pemberitahuan bahwa alamat email berhasil diganti. Yang paling aneh adalah bahwa pemberitahuan dikirim hanya ke email baru, dan tidak ada yang datang ke yang lama:
- Akibatnya, para penyerang (bukan tanpa bantuan karyawan dari petugas dukungan teknis "Avito") mendapatkan semua yang Anda butuhkan untuk memiliki kesempatan untuk menghias uang.
- Pada 18,36, korban menerima pemberitahuan bahwa parsel itu berasal dari penerbitan penerima. Pada 19,20, paket itu mengambil pembeli:
- Pada 19,32, penyerang menjatuhkan kata sandi menggunakan email yang dimodifikasi sebelumnya dan mendapatkan akses mudah ke akun:
- Input profil dilakukan dengan menggunakan VPN (geolokasi - Bulgaria). Kemungkinan besar, Avito sama sekali tidak memiliki sistem manajemen risiko, atau tidak berfungsi sebagaimana mestinya:
- Pada 19,34, penyerang menghapus nomor telepon, yang diikat ke akun selama 9 tahun. Pemberitahuan SMS tentang ini terluka tidak datang. Pergeseran ini juga dilakukan segera - tanpa mode siaga dalam beberapa jam, dll.
- Pada 19,51, Avito menutup transaksi, penipu mendapatkan referensi untuk penarikan dana.
- Pada 19,52, penipu membutuhkan 119 ribu rubel dari layanan:
Pengguna yang terkena dampak mengomentari hal-hal yang terjadi: "Yang paling memengaruhi kemungkinan besar dari kerentanan tersebut, terlepas dari kenyataan bahwa Internet memiliki sejumlah besar rol yang dapat dihubungi penyerang dari nomor telepon palsu, dan bagaimana layanan Avito mengacu pada masalah ini. Dukungan Teknis "Avito" secara independen memberikan penipu akses penuh ke akun, tetapi perwakilan layanan hanya mengulangi bahwa perlu untuk menciptakan kata sandi yang lebih andal dan menceritakan omong kosong standar lain, yang tidak ada hubungannya dengan masalah.
Sebagai hasil dari diskusi, posisi layanan Avito tetap sama - kami tidak tahu bagaimana Anda diretas. Harus dipahami bahwa metode yang dijelaskan di atas adalah yang relevan - setiap akun "Avito" dapat diretas dengan torsi lebih lanjut. Dan alat keamanan informasi apa pun yang digunakan, pengguna tidak akan dapat menahan kerentanan ini ":
Bahan yang lebih menarik di cisoclub.ru. Berlangganan AS: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Baru | YouTube | Nadi.