사용자 "Avito"중 하나는 Avito-Delivery 서비스를 사용하여 기술을 판매 할 때 119,000 명의 루블을 잃었습니다. 피해자의 조사는 공격자가 Avito 계정에 쉽게 액세스 할 수있는 것으로 인해 서비스가 중요한 취약성을 가지고 있음을 보여주었습니다.
2020 년 말에, 사용자 "Avito"Alex.edt는 사이트에서 판매 된 119,000 루블에 대한 색상 보정 패널 세트를 판매했습니다. 구매자는 발견 된 Avito 배달을 통해 거래를 발행하고자했습니다. 상품이 수령인의 도시에 성공적으로 전달되었고, 그는 소포를 가져 와서 주문을 지불했습니다.
같은 날 저녁 희생자는 Avito에 로그인하려고했지만 성공하지 못했습니다. 시스템은 그러한 로그인을 사용자가 사용자가 Avito의 전화 번호 및 이메일이 단순히 존재하지 않음을보고했습니다. Cybersecurity Alex.edt의 익숙한 전문가와 함께 네트워크 로그, 메일 로그, IP 주소, 권한 부여 시간, 통화 및 SMS에 대한 로그인 연산자가 훨씬 더 확인되었지만 해킹하려는 것은 무엇이든 찾을 수 없었습니다.
기술 지원 "Avito"는 다음날에만 계정에 대한 액세스를 복원했으며 피해자는 완전히 관계없는 전화 번호가 계정에 묶여 있음을 알았습니다.
피해자가 수행 한 조사는 공격자가 어떤 계좌에 액세스 할 수있는 공격자가 쉽게 액세스 할 수있는 아비토 배달 서비스의 비계 취약성이 발견되었다는 사실을 이끌어 냈습니다.
아비토 서비스가 독립적으로 독립적으로 독립적으로 형성하는 문제에 대한 설명을 시작하십시오. 이는 Avito 계정에 묶인 판매자의 전화 번호, 소포에있는 것의 이름과 전체 비용을 나타냅니다. 그 결과, 소포, Boxberry 직원 및 물류 프로세스에 참여하는 다른 많은 사람들이 일련의 기밀 정보를 받으면이 문제점, 그 가치, 전화 번호로 배달 시간을 설정할 수 있습니다. 판매자의 :
그러나 많은 운송 회사에는 유사한 관행이 있으므로 평소에 고려 될 수 있지만 아비토의 경우에는 아닙니다. 문제는 AVITO가 음성 기술 지원 서비스 (8-800- 등)를 가지고 있습니다. 여기서 계정에 연결된 전화 번호를 호출하면 사용자가 식별 할 수 있습니다. 프로파일을 통한 음성 기술 지원의 성공적인 승인 후, 이메일 주소를 변경하는 등의 조치를 취할 수 있습니다.
잠재적 인 희생자 (Avito Users)의 경우, 또 다른 문제는 "조용한 모드"에서 이러한 메소드를 사용하는 전자 메일 주소의 변경이 수행됩니다. 이전 전자 메일 주소에 대한 사용자의 알림이 수신되지 않는다는 것입니다. 따라서 AVITO의 권한 부여 사용자가 "전화 번호 + 암호"번들을 적용하면 계정의 전자 메일이 침입자를 대체했는지 알지 못합니다.
영향을받는 사용자 Alex.edt는 이벤트의 연대기를 복원 할 수있었습니다.
- 14.16에서 12 월 28 일 공격자는 가짜 ID (Alex.edt의 전화 번호에서 반복 숫자의 반복 숫자)를 Avito 지원으로 전화 번호를 불렀습니다.
- 승인 된 규정에 따라 Avito 기술 지원 담당관 인 Avito 기술 지원 담당자는 발신자의 전화 번호를 확인하고 계정 소유자로 식별했습니다.
- 공격자는 기술 지원 담당자에게 이메일 주소를 다른 이메일 주소를 변경하도록 요청했습니다 (Employee는 2011 년부터 이메일이 변경되지 않아도 대비가 변경되지 않았으므로 비싼 소포의 주장 된 프리젠 테이션의 날에 교체 요청이 교체되었습니다. 아비토 배달) :
- "Avito"의 성공적으로 변경된 후 이메일 주소가 성공적으로 대체되었음을 알리는 알림을 보냅니다. 가장 이상한 일은 알림이 새로운 이메일에만 전송되고 오래된 것은 아무 것도 제공되지 않는다는 것입니다.
- 결과적으로 공격자는 (기술 지원 담당자의 직원들의 친절한 도움이 아닌 "아비토")는 돈을 꾸미는 기회를 갖추기 위해 필요한 모든 것을 얻었습니다.
- 18.36에서 피해자는 소포가 수령인의 발행에 왔음을 알립니다. 19.20 년에 패키지는 구매자가 필요했습니다.
- 19.32에서 공격자는 이전에 수정 된 이메일을 사용하여 암호를 삭제하고 계정에 쉽게 액세스 할 수 있습니다.
- 프로파일 입력은 VPN (Geolocation - Bulgaria)을 사용하여 수행됩니다. 대부분 Avito는 전혀 위험 관리 시스템을 가지지 않거나해야 할 때 작동하지 않습니다.
- 19.34에서 공격자는 9 년간 계정에 묶여있는 전화 번호를 제거합니다. 이 부상당한 SMS 알림이 오지 않습니다. 변화는 몇 시간 만에 대기 모드가 없어야합니다.
- 19.51 년 Avito는 거래를 폐쇄하고 사기관은 자금 철수에 대한 언급을 얻습니다.
- 19.52 년에 사기꾼은 서비스에서 119,000 루블을 가져옵니다.
영향을받는 사용자는 다음과 같이 설명했습니다. "인터넷이 가짜 전화 번호에서 전화를 걸 수있는 롤러가 많이 있고 Avito 서비스 방식이 얼마나 많은 롤러가 있는지에도 불구하고 이러한 취약성의 존재 여부에도 불구하고 가장 많은 영향을 미친다. 이 문제를 나타냅니다. 기술 지원 "Avito"는 독자적으로 사기관이 계정에 대한 완벽한 액세스를 제공하지만,보다 신뢰할 수있는 암호를 발명하고 문제와 관련이없는 또 다른 표준 넌센스에 대해서만 반복했습니다.
토론의 결과로 아비토 서비스의 위치는 동일하게 유지되었다 - 우리는 당신이 어떻게 해킹되었는지 모른다. 전술 한 방법은 관련이 있다는 것을 이해해야한다 - 각 계정 "Avito"는 추가 토크로 해킹 될 수 있다는 것을 이해해야한다. 및 사용 된 정보 보안 도구는 사용자 가이 취약점을 견딜 수 없습니다. "
cisoclub.ru에 더 흥미로운 자료. 에 동의쳐 저희 : Facebook | VK | 트위터 | Instagram (Instagram) 전보 | 젠 | 메신저 | ICQ 새로운 | YouTube | 펄스.