Wieħed mill-utenti "Avito" tilfet 119 elf rublu meta jbiegħu t-teknoloġija tagħhom bl-użu tas-servizz ta 'avito-kunsinna. L-investigazzjoni tal-vittma wriet li s-servizz għandu vulnerabbiltà kritika, minħabba li l-attakkanti jistgħu faċilment jaċċessaw kwalunkwe kont tal-AVITO.
Fl-aħħar tal-2020, l-utent "Avito" Alex.edt mibjugħ fuq is-sit sett ta 'pannelli ta' korrezzjoni tal-kulur għal 119 elf rubles. Ix-xerrej misjub u offra li joħroġ ftehim permezz ta 'avto-kunsinna, li sar. L-oġġetti ġew mogħtija b'suċċess lill-belt tar-riċevitur, huwa ħa l-pakkett u ħallas għall-ordni.
Fil-għaxija ta 'l-istess ġurnata, il-vittma ppruvat tidħol f'Avito, imma ma rnexxiex - is-sistema rrappurtat li l-utent b'tali login, in-numru tat-telefon u l-email lil Avito sempliċement ma jeżistux. Flimkien ma 'speċjalista familjari fiċ-ċiberronikuigurtà Alex.edt, huma ċċekkjati zkuk tan-netwerk, zkuk tal-posta, indirizzi IP, ħin ta' awtorizzazzjoni, operaturi tal-login għal sejħiet u SMS, kif ukoll ħafna iktar, imma ma setgħux isibu xi ħaġa li tipponta biex tipprova hack.
L-appoġġ tekniku "AVITO" restawrat l-aċċess għall-kont biss l-għada u l-vittma raw li numru tat-telefon kompletament estranju kien marbut mal-kont, li, barra minn hekk, ma kienx ikkonfermat.
L-investigazzjoni mwettqa mill-vittma wasslet għall-fatt li l-vulnerabbiltà kritika tas-servizz Avito-kunsinna ġiet skoperta, li biha attakkanti jistgħu faċilment aċċess kwalunkwe kont.
Ibda deskrizzjoni tal-problema wieqfa mal-fatt li s-servizz AVITO jifforma b'mod indipendenti l-fattura tal-boxberry, li jindika n-numru tat-telefon tal-bejjiegħ marbut mal-kont AVITO, l-isem ta 'dak li hu fil-pakkett, kif ukoll l-ispiża sħiħa. Bħala riżultat ta 'dan, fil-ħin tal-moviment tal-pakkett, il-persunal tal-boxberry u ħafna nies oħra li jipparteċipaw fil-proċessi tal-loġistika jirċievu sett ta' informazzjoni kunfidenzjali, li tippermettilhom li jistabbilixxu l-ħin tal-kunsinna għall-punt tal-ħruġ, in-numru tat-telefon tiegħu tal-bejjiegħ:
Iżda hemm prattiki simili f'ħafna kumpaniji tat-trasport, u għalhekk jista 'jitqies bħala normali, imma mhux fil-każ ta' Avito. Il-problema hi li l-Avito għandha servizz ta 'appoġġ tekniku tal-vuċi (numru 8-800-, eċċ.), Fejn l-utent jista' jiġi identifikat jekk sempliċement isejjaħ in-numru tat-telefon li huwa marbut mal-kont. Wara awtorizzazzjoni b'suċċess fl-appoġġ tekniku bil-vuċi bi profil, tista 'tagħmel xi azzjoni, inkluż li tibdel l-indirizz elettroniku.
Għal vittmi potenzjali (utenti tal-AVITO), problema oħra hija li l-bidla fl-indirizz elettroniku bl-użu ta 'metodu bħal dan jitwettaq fil- "modalità kwieta" - l-ebda notifiki tal-utent għall-indirizz elettroniku l-antik mhux se jirċievu. Għalhekk, jekk l-utent għall-awtorizzazzjoni dwar Avito japplika pakkett ta '"numru tat-telefon + password", allura ma jafx jekk l-email tagħha fil-kont issostitwietx l-intruders.
L-utent affettwat Alex.Edt kien kapaċi jirrestawra l-kronoloġija ta 'l-avvenimenti:
- L-attakkanti fit-28 ta 'Diċembru fl-14.16 imsejjaħ in-numru tat-telefon bl-ID foloz (Numri li jirrepetu fin-numru tat-telefon ta' Alex.edt) għall-appoġġ ta 'l-AVITO.
- Fl-14.17, Uffiċjal ta 'Appoġġ Tekniku ta' Avito, wara r-regolamenti approvati, ivverifika n-numru tat-telefon ta 'min iċempel u identifikaha bħala detentur tal-kont.
- L-attakkant talab lill-Uffiċjal ta 'Appoġġ Tekniku biex jibdel l-indirizz elettroniku għal ieħor (l-impjegat ma kkawżax suspett għalkemm l-email ma nbidlitx mill-2011, u t-talba għal bidla ġiet sostitwita fil-jum tal-preżentazzjoni allegata tal-pakkett għali AVITO-TWASSIL):
- Wara l-bidla b'suċċess ta '"Avito" tibgħat notifika li l-indirizz elettroniku huwa sostitwit b'suċċess. L-iktar ħaġa strangest hija li n-notifika tintbagħat biss lill-email il-ġdida, u xejn ma jasal għall-qadim:
- Bħala riżultat, l-attakkanti (mhux mingħajr l-għajnuna ta 'l-impjegati tal-uffiċjali ta' appoġġ tekniku "Avito") ltqajna dak kollu li għandek bżonn li jkollhom l-opportunità li dekorazzjoni l-flus.
- Fis-18.36, il-vittma rċeviet avviż li l-pakkett wasal għall-ħruġ tar-riċevitur. Fl-19.20, il-pakkett ħa x-xerrej:
- Fil 19.32, attakkanti qatra l-password jużaw l-email modifikati qabel u jiksbu aċċess faċli għall-kont:
- L-input tal-profil jitwettaq bl-użu ta 'VPN (Geolocation - Bulgarija). Ħafna probabbli, Avito ma jkollux sistema ta 'ġestjoni tar-riskju, jew ma taħdimx kif suppost:
- Fid-19.34, l-attakkanti neħħi n-numru tat-telefon, li kien marbut mal-kont għal 9 snin. Notifika ta 'SMS dwar dan midruba ma tiġix. Il-bidla hija wkoll magħmula immedjatament - mingħajr modalità stand-bosta sigħat, eċċ
- Fl-19.51, Avito jagħlaq it-tranżazzjoni, il-frodisti jiksbu referenza għall-irtirar tal-fondi.
- Fl-19.52, frodisti jieħdu 119 elf rublu mis-servizz:
L-utent affettwat ikkummenta kif ġej il jiġri: "L-aktar taffettwa l-aktar probabbli tal-eżistenza ta 'tali vulnerabbiltà, minkejja l-fatt li l-Internet għandu numru kbir ta' rombli li attakkanti tista 'sejħa minn numri tat-telefon foloz, u kif is-servizz AVITO tirreferi għal din il-problema. Appoġġ Tekniku "Avito" pprovda b'mod indipendenti l-frodi aċċess sħiħ għall-kont, iżda r-rappreżentanti tas-servizz ripetuti biss li kien meħtieġ li jivvintaw password aktar affidabbli u qal nonsense standard ieħor, li ma kellu x'jaqsam mal-problema.
Bħala riżultat tad-diskussjoni, il-pożizzjoni tas-servizz ta 'l-Avito baqgħet l-istess - ma nafux kif ġejt hacked. Għandu jinftiehem li l-metodu deskritt hawn fuq huwa relevanti - kull kont "Avito" jista 'jkun hacked b'aktar torque. U kwalunkwe għodda ta 'sigurtà ta' informazzjoni użati, l-utenti mhux se jkunu kapaċi jifilħu din il-vulnerabbiltà ":
Materjal aktar interessanti fuq cisoclub.ru. Abbona għalina: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Ġdid | YouTube | Impuls.