En av brukerne "Avito" mistet 119 tusen rubler når de selger sin teknologi ved hjelp av Avito-leveringstjeneste. Undersøkelsen av offeret viste at tjenesten har et kritisk sårbarhet, på grunn av hvilke angripere som lett kan få tilgang til ANVENTITO-konto.
På slutten av 2020 solgte brukeren "AVITO" Alex.edt på nettstedet et sett med fargekorreksjonspaneler for 119 tusen rubler. Kjøperen fant og tilbød å utstede en avtale gjennom Avito-levering, som ble gjort. Varene ble vellykket levert til mottakerens by, han tok pakken og betalt for bestillingen.
På kvelden på samme dag prøvde offeret å logge inn på Avito, men han lyktes ikke - systemet rapporterte at brukeren med en slik innlogging, telefonnummeret og e-posten til AVITO bare ikke eksisterer. Sammen med en kjent spesialist i Cybersecurity Alex.edt, sjekket de nettverkslogger, postlogger, IP-adresser, autorisasjonstid, påloggingsoperatører for samtaler og SMS, så vel som mye mer, men de kunne ikke finne noe som peker på å prøve å hacke.
Den tekniske støtten "AVITO" gjenopprettet tilgang til kontoen bare neste dag, og offeret så at et helt ytre telefonnummer var knyttet til kontoen, som dessuten ikke ble bekreftet.
Undersøkelsen utført av offeret førte til at det kritiske sårbarheten til Avito-leveringstjenesten ble oppdaget, som angripere lett kan få tilgang til noen konto.
Start en beskrivelse av problemet som står med det faktum at AVITO-tjenesten uavhengig danner BoxBerry-fakturaen, som angir telefonnummeret til selgeren knyttet til AVITO-kontoen, navnet på hva som er i pakken, så vel som full pris. Som et resultat av dette, på tidspunktet for bevegelse av pakken, mottar Boxberry-ansatte og mange andre personer i logistikkprosesser et sett med konfidensiell informasjon, noe som gjør at de kan sette leveringstiden til problemet, dets verdi, telefonnummer Av selgeren:
Men det er lignende praksis i mange transportselskaper, så det kan betraktes som vanlig, men ikke i tilfelle av Avito. Problemet er at Avito har en taleteknisk støttetjeneste (nummer 8-800-, etc.), hvor brukeren kan identifiseres hvis den bare ringer telefonnummeret som er knyttet til kontoen. Etter vellykket autorisasjon i tale teknisk støtte med en profil, kan du gjøre noen handlinger, inkludert endring av e-postadressen.
For potensielle ofre (AVITO-brukere) er et annet problem at endringen av e-postadresse ved hjelp av en slik metode utføres i "stille modus" - ingen meldinger om brukeren til den gamle e-postadressen vil ikke motta. Derfor, hvis brukeren om autorisasjon på Avito bruker et "telefonnummer + passord" -pakke, vet det ikke om e-posten i kontoen erstattet inntrengere.
Den berørte brukeren Alex.edt var i stand til å gjenopprette kronologien av hendelser:
- Angriperne 28. desember ved 14.16 kalt telefonnummeret med den falske ID-en (gjentatte tall i telefonnummeret ALEX.EDT) til AVITO-støtte.
- Ved 14.17 kontrollerte Avito Technical Support Officer, etter de godkjente forskriftene, telefonnummeret til den som ringer og identifiserte det som en kontoinnehaver.
- Angriperen spurte den tekniske supportoffiseren om å endre e-postadressen til en annen (ansatt forårsaket ikke mistanke, selv om e-post ikke endret seg siden 2011, og forespørselen om et skifte ble erstattet på dagen for den påståtte presentasjonen av den dyre pakken med Avito-levering):
- Etter den vellykkede endringen av "Avito" sender du et varsel om at e-postadressen erstattes. Det merkeligste er at meldingen bare sendes til den nye e-posten, og ingenting kommer til den gamle:
- Som et resultat fikk angriperne (ikke uten hjelp til ansatte i de tekniske supportoffiserene "Avito") alt du trenger for å få muligheten til å dekorere pengene.
- Ved 18.36 mottok offeret et varsel om at pakken kom til mottakerens utstedelse. I 19.20 tok pakken kjøperen:
- I 19.32 slipper angripere passordet ved hjelp av den tidligere endrede e-posten og får enkel tilgang til kontoen:
- Profilinngangen utføres ved hjelp av VPN (Geolocation - Bulgaria). Sannsynligvis har AVITO ikke i det hele tatt et risikostyringssystem, eller det virker ikke som det skal:
- På 19.34 fjerner angripere telefonnummeret, som var knyttet til kontoen i 9 år. SMS-varsel om dette skadet kommer ikke. Skiftet er også gjort umiddelbart - uten ventemodus i flere timer, etc.
- I 19.51 lukker Avito transaksjonen, svindlere får en referanse til tilbaketrekking av midler.
- I 19.52 tar svindlere 119 tusen rubler fra tjenesten:
Den berørte brukeren kommenterte som følger skjer: "De fleste påvirker mest sannsynlig av eksistensen av et slikt sårbarhet, til tross for at Internett har et stort antall ruller som angriperne kan ringe fra falske telefonnumre, og hvordan AVITO-tjenesten refererer til dette problemet. Teknisk støtte "Avito" Tilsvarende gitt svindlere full tilgang til kontoen, men tjenestedrepresentanter gjentok bare at det var nødvendig å oppfinne et mer pålitelig passord og fortalte en annen standard nonsens, som ikke hadde noe å gjøre med problemet.
Som et resultat av diskusjonen, forblir stillingen til AVITO-tjenesten det samme - vi vet ikke hvordan du var hacket. Det skal forstås at fremgangsmåten beskrevet ovenfor er den aktuelle - hver konto "AVITO" kan hacket med ytterligere dreiemoment. Og noen informasjonssikkerhetsverktøy som brukes, vil brukerne ikke kunne tåle dette sikkerhetsproblemet ":
Mer interessant materiale på cisoclub.ru. Abonner på oss: Facebook | VK |. Twitter | Instagram |. Telegram | Zen | Messenger | ICQ Ny | YouTube | Puls.