Uno degli utenti "Avito" ha perso 119 mila rubli quando vende la loro tecnologia utilizzando il servizio di consegna Avito-Consegna. L'inchiesta della vittima ha dimostrato che il servizio ha una vulnerabilità critica, a causa del quale gli attaccanti possono facilmente accedere a qualsiasi account Avito.
Alla fine del 2020, l'utente "Avito" Alex.edt venduto sul sito un set di pannelli di correzione del colore per 119 mila rubli. L'acquirente ha trovato e offerto di emettere un accordo attraverso Avito-Consegna, che è stato fatto. Le merci sono state consegnate con successo alla città del destinatario, ha preso il pacco e pagato per l'ordine.
La sera dello stesso giorno, la vittima ha cercato di accedere ad Avito, ma non ha avuto successo - il sistema ha riferito che l'utente con un tale accesso, il numero di telefono e l'e-mail ad Avito semplicemente non esistono. Insieme a uno specialista familiare in Cybersecurity Alex.edt, hanno controllato registri di rete, registri di posta, indirizzi IP, tempo di autorizzazione, operatori di accesso per chiamate e SMS, oltre a molto altro, ma non potevano trovare nulla che punta a provare a hackerare.
Il supporto tecnico "Avito" ha restaurato l'accesso all'account solo il giorno successivo e la vittima ha visto che un numero di telefono completamente estraneo è stato legato all'account, che, inoltre, non è stato confermato.
L'inchiesta condotta dalla vittima ha portato al fatto che è stata scoperta la vulnerabilità critica del servizio Avito-Consegna, con il quale gli attaccanti possono facilmente accedere a qualsiasi account.
Avviare una descrizione del problema in piedi con il fatto che il servizio Avito forma indipendentemente dalla fattura di Boxberry, che indica il numero di telefono del venditore legati all'account Avito, il nome di ciò che è nel pacco, nonché il costo totale. Come risultato di ciò, al momento del movimento del pacco, del personale di Boxberry e di molte altre persone che partecipano ai processi logistici ricevono un insieme di informazioni riservate, che consente loro di impostare i tempi di consegna al punto di emissione, il suo valore, il numero di telefono del venditore:
Ma ci sono pratiche simili in molte compagnie di trasporto, quindi può essere considerata normale, ma non nel caso di Avito. Il problema è che AVITO ha un servizio di supporto tecnico vocale (numero 8-800-, ecc.), In cui l'utente può essere identificato se chiama semplicemente il numero di telefono che è legato all'account. Dopo un'autorizzazione di successo nel supporto tecnico della voce con un profilo, è possibile effettuare qualsiasi azione, inclusa la modifica dell'indirizzo e-mail.
Per potenziali vittime (utenti Avito), un altro problema è che il cambio dell'indirizzo e-mail utilizzando tale metodo viene eseguito nella "modalità silenziosa" - nessuna notifica dell'utente al vecchio indirizzo email non riceverà. Pertanto, se l'utente per l'autorizzazione su Avito applica un bundle "numero di telefono + password", quindi non sa se la sua e-mail nell'account ha sostituito gli intrusi.
L'utente interessato Alex.edt è stato in grado di ripristinare la cronologia degli eventi:
- Gli aggressori il 28 dicembre alle 14.16 hanno chiamato il numero di telefono con il falso ID (ripetizione dei numeri nel numero di telefono di Alex.edt) al supporto Avito.
- A 14.17, Avito Technical Assistenza tecnica, seguendo le normative approvate, controllata il numero di telefono del chiamante e l'ha identificato come titolare del conto.
- L'Attaccante ha chiesto al responsabile del supporto tecnico di modificare l'indirizzo e-mail a un altro (il dipendente non ha causato sospetto anche se l'e-mail non ha cambiato dal 2011, e la richiesta di un turno è stata sostituita il giorno della presunta presentazione del pacco costoso con Avito-consegna):
- Dopo il cambio di successo di "Avito" invia una notifica che l'indirizzo email è sostituito con successo. La cosa più strana è che la notifica viene inviata solo alla nuova email, e nulla arriva a quello vecchio:
- Di conseguenza, gli attaccanti (non senza il tipo di aiuto dei dipendenti degli ufficiali di supporto tecnico "Avito") hanno avuto tutto il necessario per decorare il denaro.
- Alle 18.36, la vittima ha ricevuto un avviso che il pacco è arrivato all'emissione del destinatario. Nel 19.20, il pacchetto ha preso l'acquirente:
- Nel 19.32, gli attaccanti abbandonano la password utilizzando l'e-mail modificata precedentemente e ottenere un facile accesso all'account:
- L'ingresso del profilo viene effettuato utilizzando VPN (Geolocalizzazione - Bulgaria). Molto probabilmente, Avito non ha affatto un sistema di gestione dei rischi, o non funziona come dovrebbe:
- Alle 19.34, gli attaccanti rimuovono il numero di telefono, che è stato legato al conto per 9 anni. La notifica SMS su questo ferita non viene. Il turno è anche fatto immediatamente - senza modalità standby in diverse ore, ecc.
- Nel 19.51, Avito chiude la transazione, i truffatori ottengono un riferimento al ritiro dei fondi.
- Nel 19.52, i truffatori impiegano 119 mila rubli dal servizio:
L'utente interessato ha commentato come segue il successivo: "Il maggior numero di colpisce il più probabile dell'esistenza di tale vulnerabilità, nonostante il fatto che Internet abbia un numero enorme numero di rulli che gli aggressori possono chiamare da numeri di telefono falsi e come il servizio Avito si riferisce a questo problema. Supporto tecnico "Avito" ha fornito indipendentemente i truffatori a pieno registro dell'account, ma i rappresentanti del servizio hanno ripetuto solo che è stato necessario inventare una password più affidabile e disse un'altra assurdità standard, che non aveva nulla a che fare con il problema.
Come risultato della discussione, la posizione del servizio Avito è rimasta la stessa cosa, non sappiamo come sei stato violato. Dovrebbe essere inteso che il metodo sopra descritto è il relativo - ogni account "Avito" può essere violato con ulteriore coppia. E tutti gli strumenti di sicurezza delle informazioni utilizzati, gli utenti non saranno in grado di resistere a questa vulnerabilità ":
Materiale più interessante su Cisoclub.ru. Iscriviti a noi: Facebook | VK |. Twitter |. Instagram |. Telegram |. Zen |. Messenger |. ICQ nuovo |. Youtube |. Pulsante.