Einn af notendum "Avito" missti 119 þúsund rúblur þegar þú selur tækni sína með því að nota Avito-afhendingu þjónustu. Rannsókn fórnarlambsins sýndi að þjónustan hefur gagnrýninn varnarleysi, vegna þess að árásarmenn geta auðveldlega nálgast hvaða Avito reikning.
Í lok 2020, notandinn "Avito" Alex.Edt selt á síðuna sett af litleiðréttingar spjöldum fyrir 119 þúsund rúblur. Kaupandi fannst og boðið að gefa út samning í gegnum Avito-afhendingu, sem var gert. Varan var afhent með góðum árangri til borgarinnar viðtakanda, tók hann pakka og greitt fyrir pöntunina.
Um kvöldið sama dag reyndi fórnarlambið að skrá sig inn í Avito, en hann náði ekki árangri - kerfið greint frá því að notandinn með slíkt innskráningu, símanúmerið og netfangið til Avito sé einfaldlega ekki til. Saman með kunnuglegu sérfræðingi í Cybersecurity Alex.Edt, skoðuðu þeir netskrár, póstskrár, IP-tölu, heimildartíma, innskráningaraðilar fyrir símtöl og SMS, eins og heilbrigður eins og miklu meira, en þeir gátu ekki fundið neitt sem bendir á að reyna að hakk.
Tæknilýsingin "Avito" endurreist aðgang að reikningnum aðeins næsta dag og fórnarlambið sá að alveg óviðkomandi símanúmer var bundin við reikninginn, sem jafnframt var ekki staðfest.
Rannsóknin sem fórnarlambið gerði leiddi til þess að gagnrýninn varnarleysi Avito-afhendingarþjónustunnar var uppgötvað, sem árásarmenn geta auðveldlega nálgast hvaða reikning sem er.
Byrjaðu lýsingu á því vandamáli sem stendur við þá staðreynd að Avito þjónustan myndar sjálfstætt Boxberry reikninginn, sem gefur til kynna að símanúmer seljanda sé bundin við Avito reikninginn, nafnið á því sem er í pakka, auk fulls kostnaðar. Sem afleiðing af þessu, á þeim tíma sem hreyfingar pakka, Boxberry starfsfólk og mörg önnur fólk sem tekur þátt í flutningum ferli fá sett af trúnaðarupplýsingum, sem gerir þeim kleift að setja afhendingu tíma til útgáfu, gildi þess, símanúmer af seljanda:
En það eru svipaðar venjur í mörgum flutningsfyrirtækjum, svo það má líta á venjulega, en ekki í tilviki Avito. Vandamálið er að Avito hefur rödd tæknilega þjónustuþjónustu (númer 8-800-, osfrv.), Þar sem notandinn er auðkenndur ef það hringir einfaldlega símanúmerið sem er bundið við reikninginn. Eftir árangursríka heimild í Voice Technical Support með snið er hægt að gera allar aðgerðir, þar á meðal að breyta netfanginu.
Fyrir hugsanlega fórnarlömb (Avito notendur) er annað vandamál að breyting á netfangi með slíkri aðferð er framkvæmd í "Quiet Mode" - engin tilkynningar notenda við gamla netfangið mun ekki fá. Því ef notandinn fyrir leyfi á Avito beitir "símanúmer + lykilorð" búnt, þá veit það ekki hvort tölvupósturinn hans í reikningnum komi í stað boðflenna.
The viðkomandi notandi Alex.Edt var fær um að endurheimta tímaröð atburða:
- Árásarmenn 28. desember kl. 14.16 kallast símanúmerið með falsa auðkenni (endurtaka tölur í símanúmeri Alex.Edt) til Avito stuðnings.
- Á 14.17, Avito tæknilega aðstoðarfulltrúi, í kjölfar samþykktar reglna, köflótti símanúmer þess sem hringir og benti á það sem reikningshafa.
- Árásarmaðurinn spurði tæknilega aðstoðarfulltrúann til að breyta netfanginu til annars (starfsmaðurinn valdi ekki grunur, jafnvel þótt tölvupóstur hafi ekki breyst síðan 2011 og beiðnin um breytingu var skipt út á þeim degi sem meint kynning á dýrum pakka með Avito-Delivery):
- Eftir árangursríka breytingu á "Avito" sendir tilkynningu um að netfangið sé skipt út. The undarlegasta hlutur er að tilkynningin er aðeins send til nýja tölvupóstsins og ekkert kemur til gamla:
- Þess vegna, árásarmenn (ekki án þess að hjálpa starfsmönnum tæknilega aðstoðarfulltrúa "Avito") fékk allt sem þú þarft til að fá tækifæri til að skreyta peningana.
- Á 18.36, fórnarlambið fékk tilkynningu um að pakka kom til útgáfu viðtakanda. Árið 19.20 tók pakkinn kaupanda:
- Árið 19.32 slepptu árásarmönnum lykilorðinu með því að nota áður breytt tölvupóst og fáðu greiðan aðgang að reikningnum:
- Upphæð prófílsins er framkvæmd með VPN (Geolocation - Búlgaríu). Líklegast hefur Avito alls ekki haft áhættustýringarkerfi, eða það virkar ekki eins og það ætti að:
- Á 19.34, árásarmenn fjarlægja símanúmerið, sem var bundin við reikninginn í 9 ár. SMS tilkynning um þetta slasaður kemur ekki. Breytingin er einnig gerð strax - án biðham á nokkrum klukkustundum osfrv.
- Í 19.51 lokar Avito viðskiptin, fraudsters fá tilvísun í afturköllun fjármagns.
- Í 19.52, fraudsters taka 119 þúsund rúblur frá þjónustunni:
The viðkomandi notandi sagði sem hér segir að gerast: "Mest hafa áhrif á líklegasti tilvist slíkrar varnarleysi, þrátt fyrir að internetið hafi mikið úrval af rollers sem árásarmenn geta hringt úr falsa símanúmerum og hvernig Avito þjónustan vísar til þessa vandamála. Tæknileg aðstoð "Avito" veitti sjálfstætt fraudsters fullan aðgang að reikningnum, en þjónustufulltrúarnir endurtaka aðeins að það væri nauðsynlegt að finna upp áreiðanlegt lykilorð og sagði annað staðall bull, sem hafði ekkert að gera við vandamálið.
Sem afleiðing af umræðunni var staða Avito þjónustunnar það sama - við vitum ekki hvernig þú varst hakkað. Það ætti að skilja að aðferðin sem lýst er hér að framan er viðeigandi - hver reikningur "Avito" er hægt að hakkað með frekari tog. Og allar upplýsingar öryggisverkfæri sem notuð eru, notendur geta ekki staðist þessa varnarleysi ":
Meira áhugavert efni á cisoclub.ru. Gerast áskrifandi að okkur: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NEW | YouTube | Púls.