Viens no lietotājiem "Avito" zaudēja 119 tūkstošus rubļu, pārdodot savu tehnoloģiju, izmantojot avito-piegādes pakalpojumu. Cietušā izmeklēšana parādīja, ka pakalpojumam ir kritiska neaizsargātība, kuru dēļ uzbrucēji var viegli piekļūt jebkuram Avito kontam.
2020. gada beigās lietotājs "Avito" Alex.edt pārdod vietnē krāsu korekcijas paneļu komplekts 119 tūkstošiem rubļu. Pircējs atrada un piedāvāja izdot darījumu caur avito-piegādi, kas tika darīts. Preces tika veiksmīgi piegādātas saņēmēja pilsētā, viņš paņēma paku un samaksāja par pasūtījumu.
Vakarā tajā pašā dienā, cietušais mēģināja pieteikties Avito, bet viņš neizdevās - sistēma ziņoja, ka lietotājs ar šādu pieteikšanos, tālruņa numurs un e-pastu uz Avito vienkārši nepastāv. Kopā ar pazīstamu speciālistu CyberSecurity Alex.edt, viņi pārbauda tīkla žurnālus, pasta žurnālus, IP adreses, autorizācijas laiku, pieteikšanās operatorus zvaniem un SMS, kā arī daudz vairāk, bet viņi nevarēja atrast neko norādot mēģināt kapāt.
Tehniskais atbalsts "Avito" atjaunoja piekļuvi kontam tikai nākamajā dienā un cietušais redzēja, ka konts tika piesaistīts pilnīgi svešs tālruņa numurs, kas turklāt netika apstiprināts.
Cietušā veiktā izmeklēšana noveda pie fakta, ka tika atklāta kritiskā neaizsargātība no Avito-piegādes pakalpojuma, ar kurām uzbrucēji var viegli piekļūt jebkuram kontam.
Sāciet problēmas aprakstu, kas stāv ar to, ka Avito pakalpojums patstāvīgi veido Bumbas rēķinu, kas norāda uz Avito konta tālruņa numuru, nosaukumu, kas atrodas sūtījumā, kā arī pilnas izmaksas. Tā rezultātā zemes gabala kustības laikā Bībele, un daudzi citi cilvēki, kas piedalās loģistikas procesos, saņem konfidenciālas informācijas kopumu, kas ļauj viņiem noteikt piegādes laiku uz emisijas punktu, tās vērtību, tālruņa numuru pārdevēja:
Bet ir līdzīgas prakses daudzos transporta uzņēmumos, tāpēc to var uzskatīt parastā, bet ne avito gadījumā. Problēma ir tā, ka Avito ir balss tehniskā atbalsta dienests (numurs 8-800-, uc), kur lietotājs var identificēt, ja tas vienkārši zvana tālruņa numuru, kas ir piesaistīts kontam. Pēc veiksmīgas atļaujas balss tehniskais atbalsts ar profilu, jūs varat veikt jebkādas darbības, tostarp mainot e-pasta adresi.
Potenciālajiem upuriem (Avito lietotājiem) cita problēma ir tā, ka e-pasta adreses maiņa, izmantojot šādu metodi, tiek veikta "klusā režīmā" - netiek saņemts neviens lietotāja paziņojums vecajai e-pasta adresei. Tāpēc, ja lietotājs par Avito atļauju izmanto "tālruņa numuru + paroli" komplektu, tad nezina, vai tā e-pasts kontā aizstāj iebrucējiem.
Skartais lietotājs Alex.edt varēja atjaunot notikumu hronoloģiju:
- Uzbrucēji 28. decembrī plkst. 14.16, ko sauc par tālruņa numuru ar viltotu ID (atkārtojot numurus tālruņa numuru Alex.edt) uz AVITO atbalstu.
- Pie 14.17, Avito tehniskā atbalsta amatpersona, pēc apstiprinātajiem noteikumiem, pārbaudīja zvanītāja tālruņa numuru un identificējusi to kā konta turētāju.
- Uzbrucējs lūdza tehniskā atbalsta inspektoru mainīt e-pasta adresi uz citu (darbinieks neizraisīja aizdomas, lai gan e-pasts nav mainījies kopš 2011. gada, un pieprasījums pēc maiņas tika aizstāts dienā, kad tiek iesniegts dārgais zemes gabals Avito-piegāde):
- Pēc veiksmīgas "Avito" maiņas nosūta paziņojumu, ka e-pasta adrese ir veiksmīgi nomainīta. Dīvainā lieta ir tā, ka paziņojums tiek nosūtīts tikai uz jauno e-pastu, un nekas nenāk uz veco:
- Tā rezultātā uzbrucēji (ne bez veida palīdzību darbiniekiem tehnisko atbalsta darbinieku "Avito") ieguva visu, kas jums ir nepieciešams, lai būtu iespēja izrotāt naudu.
- 18.36, cietušais saņēma paziņojumu, ka sūtījums nonāca saņēmēja izsniegšanā. 19.20, pakete paņēma pircēju:
- 19.32, uzbrucēji nomet paroli, izmantojot iepriekš modificētu e-pastu un viegli piekļūt kontam:
- Profila ievade tiek veikta, izmantojot VPN (ģeogrāfiskās atrašanās vietas - Bulgārija). Visticamāk, ka Avito vispār nav riska pārvaldības sistēma, vai arī tas nedarbojas kā:
- Pie 19.34, uzbrucēji noņem tālruņa numuru, kas tika piesaistīts kontam 9 gadus. SMS paziņojums par šo ievainoto nenāk. Maiņa tiek veikta arī nekavējoties - bez gaidīšanas režīma vairākās stundās utt.
- 19.51. Avito aizver darījumu, krāpnieki saņem atsauci uz līdzekļu izņemšanu.
- 19.52, krāpnieki aizņem 119 tūkstošus rubļu no pakalpojuma:
Skartais lietotājs komentēja šādi: "Visvairāk ietekmē visticamāko šādu neaizsargātības pastāvēšanu, neskatoties uz to, ka internetam ir milzīgs skaits rullīšu, ka uzbrucēji var zvanīt no viltus tālruņa numuriem, un kā avito pakalpojums attiecas uz šo problēmu. Tehniskais atbalsts "Avito" Neatkarīgi nodrošināja krāpniekus pilnu piekļuvi kontam, bet pakalpojumu pārstāvji atkārtoja tikai to, ka bija nepieciešams izgudrot uzticamāku paroli un pastāstīja vēl vienu standarta muļķības, kam nebija nekāda sakara ar problēmu.
Diskusijas rezultātā Avito pakalpojuma stāvoklis palika nemainīgs - mēs nezinām, kā jūs esat hacked. Ir jāsaprot, ka iepriekš aprakstītā metode ir attiecīgā - katrs konts "Avito" var hacked ar tālāku griezes momentu. Un jebkuri izmantotie informācijas drošības rīki, lietotāji nevarēs izturēt šo neaizsargātību ":
Vairāk interesantu materiālu Cisoclub.ru. Abonēt mums: Facebook | Vk | Twitter | Instagram | Telegramma | Zen | Messenger | ICQ NEW | YouTube | Pulss.