Ee vun de Benotzer "Avito" verluer 119 Dausend Rubelen wann Dir hir Technologie benotzt mat Avito-Liwwerung Service. D'Enquête vum Affer huet gewisen datt de Service eng kritesch Vulverabilitéit huet, wéinst wéi engem Ugräifer einfach Zougang zu engem Avito Kont.
Um Enn vun 2020, de Benotzer "Avito" Alex.DET huet op der Plaz e Set vu Faarfkorrektiounspannten fir 119 dausend Rubel verkaaft. De Keefer fonnt an ugebuede fir en Deal duerch Ariichten ze verschécken, déi gemaach gouf. D'Wuer ass erfollegräich an d'Stad den denkraten, deen hien de Pak geliwwert huet a bezuelt fir d'Bestellung.
Owes fir de selwechten Dag war d'Affer probéiert op A9 den Telefon ze kontaktanen, huet hien eng Telefonsnummer an de System matgelvodeeltéieren. Zesummegäerm mat engem bekannte Spezialist am Mybéuuritéit Den Alex.éiert, si Versiouns Logen, E-Adress, Prébechts- a Summéieren do ze liesen.
Déi technescher Ënnerstëtzung "Rechich" restauréierten Zougang zum Kont op de Kont an den Affer hunn iergendwéi gesinn, déi eng ganz ënnerlech Reiferenznummer hu ginn, fir de Kont derbäi ginn, fir de Kont derbäi ze ginn, wat, et gëtt] nach bis elo d'Spilldes 2013 gewiesselt ginn, war et awer net dankbar.
D'Säit vum Geschäft hat gesot datt d'Situatioun an der Avito-Liwwerung vum Avoker kannt goufen, mat wéi all Demanden ënner anerem Zougang.
Ëff eng Bescheedungsgeschicht vum Problem dat stëmmt dat stëmmt datt, deen AFo Service onbedéngt déi Kriteuren an de Velang ass, wat erkläert och un d'Telefon wéi d'Sonndeg Zuel vum Verkeefer Als Resultat vun dat fir d'Bewegung vu Bank de Raklemand Stolzmrik an vill Leit kënnen hinnen e Sécherheetszäit fir de Wäert fir den Thema Araum, deen hinnen erlaabt datt se se erlaabt d'Liwwerungimmerung ze setzen, wat si suergen fir d'Liwwerung Zousätzlech, dat hinnen eng Sentfunkter huet fir eng Sécherheetspunkt fir den Thema Aspekt, déi hinnen eng Selevantagenten op d'Liwwerungimmerung erlaabt, fir datt se hinnen eng Squitéitszomm Informatioun kritt huet, aus dem Thema. vum Verkeefer:
Awer awer wéi eng ähnlech Praktiken a villeen Transportfirmen déi als üde, awer net wann se vum Av1do entsprécht hun. De Problem ass datt den Avito e Stëmm Technesch Support Service (Nummer 8-800-, asw.), Wou de Benotzer identifizéiert gëtt wann et einfach d'Telefonsnummer ass, déi op de Kont nennt. No erfollegräicher Autorisatioun an Stëmm Technesch Support mat engem Profil, kënnt Dir Aktiounen maachen, andeems Dir d'E-Mailadress ännert.
Fir potenziell Affer (Avito Benotzer), e weideren Problem ass datt d'Ännerung vun der E-Mail Adress mat sou enger Method an der "roueger Modus ass" - keng Notifikatiounen vum Benotzer op déi al E-Mail Adress ginn net. Dofir, wann de Benotzer fir Autorisatioun am Avito en "Telefonsnummer + Passwuert" Bündel "Kuerf kritt, da weess et net wann et seng E-Mail den Intruderer ersat huet.
De betraffene Benotzer an den Alex.DET konnt d'Chronologie vun Evenementer restauréieren:
- Den Ugräifer den 28. Dezember zu 14.16 huet d'Telefonsnummer mat der Fake ID genannt (Widderhuelungsnummeren an der Telefonsnummer vum Alex.DTO Support.
- Um 14.17, kuckt vun Avito techneschen Ënnerstëtzung, déi se als Telefonsnummer vum Caller als e Kont zougänglech ass gemaach.
- Den Erdackung huet den techneschen Supportican ugeholl fir d'E-Mailadress an en aneren ze änneren (nom Employé huet och net veraarf, an d'E-mail parkis gouf bis zur Säit vun der Ufro wéinst der Wonsch ersat ginn Avito-Liwwerung):
- No der erfollegräicher Ännerung vum "Avito" schéckt eng Notifikatioun déi d'E-Mailadress erfollegräich ersat gëtt. Déi komeschst Saach ass datt d'Notifikatioun nëmme fir déi nei E-Mail geschéckt gëtt, an näischt kënnt an den alen:
- Als Resultat waren d'Duergescher (net ouni déi déi déi déi déi déi déi déi déi déi déi déi déi déi exzellent Hëllef vun den techneschen Support "1 )17 gemaach déi eppes musséieren. Hutt Dir d'Méiglechkeet déi muss Decidéierensfäleg fir d'Méiglechkeet ze entdecken.
- Um 18.36, huet d'Affer eng Notiz kritt datt de Pak vun der Erlaabnes vum Empfänger koum. Am 19.20 huet de Package de Keefer geholl:
- 19.32, Attacke falen d'Passwuert mat der fréier modifizéierter E-Mail a kritt einfach Zougang zum Kont:
- De Profilinput gëtt duerch VPN duerchgefouert (Geocolation - Bulgarien). Méiglech wéi Avito huet guer net e Risikomanagement System, oder et funktionnéiert net wéi et soll:
- 19.34, UNOPARTEN D'Smelznummer ofzehuelen, déi op de Kont op de Kont berechtegt gouf. SMS Notifikatioun iwwer dës blesséiert kënnt net. D'Verréckelung gëtt och direkt gemaach - ouni Steigung an e puer Stonnen, asw.
- Am 19.51, Avito zou d'Transaktioun, déi Fraudders eng Referenz op de Réckzuch vu Fongen kréien.
- Am 19,52, Bedruch huelen 119 dausend Rubelen aus dem Service:
De betraffene Benotzer kommentionéiert wéi follegt dat geschitt: "Déi meescht betrëfste vun der Existenz vun der Existenz vun sou enger Vollgankheet, trotz der Tatsaach, datt den Internet eng Tatsaach, datt den Internet eng Tatsaach ass, datt den Intercepto bezitt sech op dëse Problem. Technesch Support "Avito" onschläitlech huet ëte Fraduerster voll ugewandt Clients op de Konto ze leien an huet deem mir direkt nach néideg maachen datt déi néideg ass fir deem anere Standard ze maachen.
Dofir si d'Diskussioun zerfall, d'Expouf vumivel Service bis du net geackt. Et sollt verstane ginn datt d'Methode uewen beschriwwen ass dat relevant - all Kont "Avito" kann mat weiderer Dréimoment gehackt ginn. An all Informatioun Sécherheet Tlammen déi benotzt ginn, däerf dës Véissegstabilitéit "matdecken":
Méi interessant Material op CisoCluB.ru. Abonnéiert eis op: Facebook | Vik | TWITT-| Instagram | Telegramm | | Gare Hëllefserammelen ICQ nei | Youtube | Puls.