Vienas iš naudotojų "Avito" prarado 119 tūkst. Rublių parduodant savo technologijas naudodami "Avito" pristatymo paslaugą. Nukentėjusiųjų tyrimas parodė, kad paslauga turi kritišką pažeidžiamumą, dėl kurių užpuolikai gali lengvai pasiekti bet kokį avito sąskaitą.
2020 m. Pabaigoje vartotojas "Avito" Alex.edt parduodamas svetainėje, 119 tūkst. Rublių spalvų korekcijos plokščių rinkinys. Pirkėjas nustatė ir pasiūlė išduoti sandorį per avito pristatymą, kuris buvo atliktas. Prekės buvo sėkmingai pristatomos į gavėjo miestą, jis paėmė siuntinį ir sumokėjo už užsakymą.
Tą pačią dieną vakare auka bandė prisijungti prie "Avito", tačiau jis nesugebėjo sėkmingai - sistema pranešė, kad vartotojas su tokiu prisijungimu, telefono numeriu ir el. Paštu "Avito" tiesiog neegzistuoja. Kartu su pažįstamu specialistu Alex.edt, jie patikrino tinklo žurnalus, pašto žurnalus, IP adresus, autorizacijos laiką, prisijungimo operatorius skambučiams ir SMS, taip pat daug daugiau, tačiau jie negalėjo rasti nieko, kas bando įsilaužti.
Techninė pagalba "Avito" atkurta prieiga prie sąskaitos tik kitą dieną ir auka pamatė, kad visiškai pašalinamas telefono numeris buvo susietas su paskyra, kuri, be to, nebuvo patvirtinta.
Nukentėjusio tyrimo rezultatas lėmė tai, kad buvo rastas kritinis avito pristatymo paslaugų pažeidžiamumas, su kuriuo užpuolikai gali lengvai pasiekti bet kurią paskyrą.
Pradėkite apie problemos aprašymą, su tuo, kad "Avito" paslauga nepriklausomai sudaro "Boxberry" sąskaitą faktūrą, kurioje nurodomas pardavėjo telefono numeris, susietas su "Avito" paskyros, kuris yra sklype, taip pat visos išlaidos. Dėl šios priežasties sklypo, "Boxberry" darbuotojų judėjimo metu ir daugelis kitų žmonių dalyvaujančių logistikos procesuose dalyvaujančių žmonių gauna konfidencialios informacijos rinkinį, kuris leidžia jiems nustatyti pristatymo laiką į problemos tašką, jo vertę, telefono numerį Pardavėjo:
Tačiau daugelyje transporto įmonių yra panašios praktikos, todėl ji gali būti laikoma įprasta, bet ne avito atveju. Problema yra ta, kad "Avito" turi balso techninės pagalbos tarnybą (8-800- ir kt.), Jei vartotojas gali būti identifikuojamas, jei jis tiesiog skambina telefono numeriu, kuris yra susietas su paskyra. Po sėkmingo autorizacijos balso techninės paramos su profiliu galite atlikti visus veiksmus, įskaitant el. Pašto adreso keitimą.
Galimoms aukoms (AVITO naudotojams), kita problema yra ta, kad el. Pašto adreso pakeitimas naudojant tokį metodą atliekamas "ramiame režime" - ne pranešimai apie naudotoją į seną el. Pašto adresą negaus. Todėl, jei autorizacijos leidimui "Avito" naudotojas taiko "telefono numerį + slaptažodį" paketą, tada jis nežino, ar jo el. Paštas paskyroje pakeitė įsibrovėlius.
Nukentėjusi vartotojas Alex.edt galėjo atkurti įvykių chronologiją:
- Užpuolikai gruodžio 28 d 14.16 vadinamas telefono numerį su suklastoto ID (pakartotinių numerių telefono numerį Alex.edt) į avito paramą.
- 14.17 val. Avito techninės pagalbos pareigūnas, vadovaujantis patvirtintomis taisyklėmis, patikrino skambinančiojo telefono numerį ir jį nustatė kaip sąskaitos turėtojas.
- Užpuolikas paprašė techninės pagalbos pareigūno keisti el. Pašto adresą į kitą (darbuotojas nesukėlė įtarimo, nors nuo 2011 m. Elektroninis el. AVITO-PRISTATYMAS):
- Po sėkmingo "avito" pakeitimas siunčia pranešimą, kad el. Pašto adresas sėkmingai pakeistas. Keistriausias dalykas yra tas, kad pranešimas siunčiamas tik naujam el. Laiškui, ir niekas ateina į senąjį:
- Kaip rezultatas, užpuolikai (ne be darbuotojų techninės pagalbos pareigūnų "avito") gavo viską, ko reikia turėti galimybę papuošti pinigus.
- 18.36 val. Auka gavo pranešimą, kad sklypas atėjo į gavėjo išleidimą. 19.20, paketas paėmė pirkėją:
- 19.32, užpuolikai atsisako slaptažodžio naudojant anksčiau modifikuotą el. Laišką ir palengvinkite prieigą prie paskyros:
- Profilio įvedimas atliekamas naudojant VPN (Geolcolescork - Bulgarija). Labiausiai tikėtina, kad "Avito" visai neturi rizikos valdymo sistemos, arba ji neveikia taip, kaip ji turėtų:
- 19.34 val. Užpuolikai pašalina telefono numerį, kuris buvo susietas su 9 metų sąskaita. SMS pranešimas apie šią sužeistą nėra. Perėjimas taip pat atliekamas nedelsiant - be budėjimo režimo per kelias valandas ir tt
- 19.51 m. Avito uždaro sandorį, sukčiai gauna nuorodą į lėšų panaikinimą.
- 19.52 m. Sukčiai užima 119 tūkst. Rublių nuo tarnybos:
Pažeistas vartotojas pakomentavo taip: "Dauguma daro įtaką labiausiai tikėtiną tokio pažeidžiamumo egzistavimą, nepaisant to, kad internetas turi didžiulį skaičių ritinių, kurie užpuolikai gali skambinti iš netikrų telefono numerių, ir kaip avito paslauga nurodo šią problemą. Techninė pagalba "Avito" savarankiškai teikiamų sukčiai visišką prieigą prie sąskaitos, tačiau paslaugų atstovai pakartojo tik tai, kad buvo būtina sugalvoti patikimesnį slaptažodį ir paprašyti kitą standartinę nesąmonę, kuri neturėjo nieko bendro su problema.
Kaip diskusijos rezultatas, Avito tarnybos pozicija išliko tokia pati - mes nežinome, kaip buvo įsilaužė. Reikia suprasti, kad pirmiau aprašytas metodas yra atitinkama - kiekviena sąskaita "Avito" gali būti nulaužta su tolesniu sukimo momentu. Ir bet kokios naudojamos informacijos saugumo priemonės naudotojai negalės atlaikyti šio pažeidžiamumo ":
Įdomesnė medžiaga cisoclub.ru. Prenumeruokite mums: "Facebook" VK | Twitter | Instagram | Telegrama | Zen | Messenger |. ICQ New | "YouTube" | Pulsas.