ਇੱਕ ਉਪਯੋਗਕਰਤਾ ਵਿੱਚੋਂ ਇੱਕ "ਅਵਤੋ" ਨੂੰ ਅਵੀਟੋ-ਡਿਲਿਵਰੀ ਸੇਵਾ ਦੀ ਵਰਤੋਂ ਕਰਦਿਆਂ ਉਨ੍ਹਾਂ ਦੀ ਟੈਕਨੋਲੋਜੀ ਗੁਆ ਦਿੱਤੀ. ਪੀੜਤ ਦੀ ਜਾਂਚ ਤੋਂ ਪਤਾ ਚੱਲਿਆ ਕਿ ਸੇਵਾ ਵਿਚ ਇਕ ਨਾਜ਼ੁਕਤਾ ਹੈ, ਜਿਸ ਕਾਰਨ ਹਮਲਾਵਰ ਕਿਸੇ ਵੀ ਅਵੀਟੋ ਖਾਤੇ ਨੂੰ ਐਕਸੈਸ ਕਰ ਸਕਦੇ ਹਨ.
2020 ਦੇ ਅੰਤ ਵਿੱਚ, ਉਪਭੋਗਤਾ "ਅਵਤੋ" ਐਲੇਕਸ .ਡਟ ਨੇ ਸਾਈਟ ਤੇ ਵੇਚਿਆ ਗਿਆ ਸੀ ਜਿਸ ਵਿੱਚ 119 ਹਜ਼ਾਰ ਰੂਬਲ ਲਈ ਰੰਗ ਸੁਧਾਰ ਪੈਨਲ ਦਾ ਇੱਕ ਸਮੂਹ ਸੀ. ਖਰੀਦਦਾਰ ਮਿਲਿਆ ਅਤੇ ਦਵੀਤੋ-ਸਪੁਰਦਗੀ ਦੁਆਰਾ ਸੌਦੇ ਨੂੰ ਜਾਰੀ ਕਰਨ ਦੀ ਪੇਸ਼ਕਸ਼ ਕੀਤੀ ਗਈ, ਜੋ ਕੀਤੀ ਗਈ ਸੀ. ਸਾਮਾਨ ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਪ੍ਰਾਪਤ ਕਰਨ ਵਾਲੇ ਸ਼ਹਿਰ ਨੂੰ ਦੇ ਦਿੱਤਾ ਗਿਆ, ਉਸਨੇ ਪਾਰਸਲ ਲਿਆ ਅਤੇ ਆਰਡਰ ਲਈ ਭੁਗਤਾਨ ਕੀਤਾ.
ਉਸੇ ਦਿਨ ਸ਼ਾਮ ਨੂੰ, ਪੀੜਤ ਵਿਅਕਤੀ ਨੂੰ ਅਵਤੋ ਵਿੱਚ ਲੌਗ ਇਨ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ, ਪਰ ਉਹ ਸਫਲ ਨਹੀਂ ਹੋਇਆ - ਇਸ ਤਰ੍ਹਾਂ ਦਾ ਇੱਕ ਲੌਗਇਨ, ਏਵੀਤੋ ਨੂੰ ਫੋਨ ਨੰਬਰ ਅਤੇ ਈਮੇਲ ਮੌਜੂਦ ਨਹੀਂ ਹਨ. ਸਾਈਬਰਸੁਕੀਕਰੀਲਿਸਟ ਵਿੱਚ ਇੱਕ ਜਾਣੂ ਸਪੈਸ਼ਲਿਸਟ ਦੇ ਨਾਲ ਮਿਲ ਕੇ ਅਲੈਕਸ.ਡ.ਆਈ.ਡੀ.ਟੀ., ਮੇਲ ਲੌਗ, ਆਈਪੀ ਐਡਰੈੱਸ, ਅਧਿਕਾਰ ਦਾ ਸਮਾਂ, ਪਰ ਉਹ ਹੈਕ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨ ਤੇ ਇਸ਼ਾਰਾ ਕਰਨ ਲਈ ਕੁਝ ਵੀ ਨਹੀਂ ਲੱਭ ਸਕੇ.
ਤਕਨੀਕੀ ਸਹਾਇਤਾ "ਅਵਤੋ" ਖਾਤੇ ਵਿੱਚ ਸਿਰਫ ਅਗਲੇ ਦਿਨ ਖਾਤੇ ਵਿੱਚ ਬਹਾਲ ਕੀਤੀ ਗਈ ਪਹੁੰਚ ਨੇ ਦੇਖਿਆ ਕਿ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਬਾਹਰੀ ਫੋਨ ਨੰਬਰ ਖਾਤੇ ਨਾਲ ਬੰਨ੍ਹਿਆ ਹੋਇਆ ਸੀ, ਜਿਸਦਾ ਇਸ ਤੋਂ ਇਲਾਵਾ, ਪੁਸ਼ਟੀ ਨਹੀਂ ਹੋਈ.
ਪੀੜਤ ਦੁਆਰਾ ਕੀਤੀ ਗਈ ਜਾਂਚ ਦੀ ਅਗਵਾਈ ਇਸ ਗੱਲ ਦਾ ਕਾਰਨ ਬਣੀ ਹੋਈ ਕਿ ਅਵਤੋ-ਡਿਲਿਵਰੀ ਸੇਵਾ ਦੀ ਨਾਜ਼ੁਕ ਵਿਘਨ ਦੀ ਉਲੰਘਣਾ ਕੀਤੀ ਗਈ ਸੀ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰ ਕਿਸੇ ਵੀ ਖਾਤੇ ਨੂੰ ਅਸਾਨੀ ਨਾਲ ਪਹੁੰਚ ਸਕਦੇ ਹਨ.
ਇਸ ਤੱਥ ਦੇ ਨਾਲ ਖੜ੍ਹੀ ਸਮੱਸਿਆ ਦਾ ਵੇਰਵਾ ਸ਼ੁਰੂ ਕਰੋ ਕਿ ਅਵੀਟੋਸ ਸਰਵਿਸ ਸੁਤੰਤਰ ਰੂਪ ਵਿੱਚ ਡੱਬੀਰੀ ਇਨਵੌਇਸ ਬਣਦੀ ਹੈ, ਜੋ ਕਿ ਏਵਿਟੋ ਖਾਤੇ ਵਿੱਚ ਬੰਨ੍ਹਣ ਵਾਲੇ ਟੈਲੀਫੋਨ ਨੰਬਰ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਨਾਲ ਹੀ ਪੂਰੀ ਕੀਮਤ ਦੇ ਨਾਮ. ਇਸਦੇ ਨਤੀਜੇ ਵਜੋਂ, ਪਾਰਸਲ ਦੇ ਅੰਦੋਲਨ, ਡੱਬੀਰੀ ਸਟਾਫ ਅਤੇ ਹੋਰ ਬਹੁਤ ਸਾਰੇ ਲੋਕਾਂ ਨੂੰ ਲੌਜਿਸਟਿਕ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਹਿੱਸਾ ਲੈਣ ਦੇ ਸਮੂਹ ਵਿੱਚ ਸਪੁਰਦਗੀ ਦਾ ਸਮਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਇਸਦਾ ਮੁੱਲ, ਟੈਲੀਫੋਨ ਨੰਬਰ ਵੇਚਣ ਵਾਲੇ ਦਾ:
ਪਰ ਬਹੁਤ ਸਾਰੀਆਂ ਟਰਾਂਸਪੋਰਟ ਕੰਪਨੀਆਂ ਦੇ ਸਮਾਨ ਅਭਿਆਸ ਹਨ, ਇਸ ਲਈ ਇਸ ਨੂੰ ਆਮ ਮੰਨਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਪਰ ਅਵਤੋ ਦੇ ਮਾਮਲੇ ਵਿਚ ਨਹੀਂ. ਸਮੱਸਿਆ ਇਹ ਹੈ ਕਿ ਅਵੀਤੋ ਕੋਲ ਵੌਇਸ ਤਕਨੀਕੀ ਸਹਾਇਤਾ ਸੇਵਾ (ਨੰਬਰ 8-800-, ਆਦਿ) ਹੈ, ਜਿੱਥੇ ਉਪਭੋਗਤਾ ਦੀ ਪਛਾਣ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ ਜੇ ਇਸ ਨੂੰ ਸਿਰਫ ਖਾਤੇ ਨਾਲ ਬੰਨ੍ਹਿਆ ਜਾਂਦਾ ਹੈ. ਪ੍ਰੋਫਾਈਲ ਨਾਲ ਵਾਇਸ ਤਕਨੀਕੀ ਸਹਾਇਤਾ ਵਿੱਚ ਸਫਲ ਅਧਿਕਾਰ ਤੋਂ ਬਾਅਦ, ਤੁਸੀਂ ਕੋਈ ਵੀ ਕਾਰਵਾਈ ਕਰ ਸਕਦੇ ਹੋ, ਈਮੇਲ ਪਤੇ ਨੂੰ ਬਦਲਣ ਸਮੇਤ.
ਸੰਭਾਵਤ ਪੀੜਤ (ਏਵੀਤੋ ਉਪਭੋਗਤਾਵਾਂ) ਲਈ, ਇਕ ਹੋਰ ਸਮੱਸਿਆ ਇਹ ਹੈ ਕਿ ਇਸ ਤਰ੍ਹਾਂ ਦੇ method ੰਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਈਮੇਲ ਪਤੇ ਦੀ ਤਬਦੀਲੀ "ਸ਼ਾਂਤ ਮੋਡ ਵਿੱਚ ਕੀਤੀ ਜਾਂਦੀ ਹੈ - ਪੁਰਾਣੇ ਈਮੇਲ ਪਤੇ ਤੇ ਉਪਭੋਗਤਾ ਦੀ ਕੋਈ ਸੂਚਨਾ ਪ੍ਰਾਪਤ ਨਹੀਂ ਹੁੰਦੀ. ਇਸ ਲਈ, ਜੇ ਅਵੀਟੋ 'ਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਉਪਭੋਗਤਾ ਇੱਕ "ਫੋਨ ਨੰਬਰ + ਪਾਸਵਰਡ" ਬੰਡਲ ਲਾਗੂ ਕਰਦਾ ਹੈ, ਤਾਂ ਇਹ ਨਹੀਂ ਜਾਣਦਾ ਕਿ ਇਸ ਦੀ ਈਮੇਲ ਘੁਸਪੈਠੀਏ ਨੂੰ ਬਦਲ ਸਕਦੀ ਹੈ.
ਪ੍ਰਭਾਵਿਤ ਉਪਭੋਗਤਾ Alx.ed ਘਟਨਾਵਾਂ ਦੇ ਕ੍ਰੋਮੋਲੋਜੀ ਨੂੰ ਬਹਾਲ ਕਰਨ ਦੇ ਯੋਗ ਸੀ:
- ਹਮਲਾਵਰਾਂ ਨੇ 28 ਦਸੰਬਰ ਨੂੰ 14.16 ਨੂੰ ਨਕਲੀ ID ਨਾਲ ਫੋਨ ਨੰਬਰ ਕਿਹਾ ਜਿਸ ਨੂੰ ਅਵੀਟੋਸ ਦੇ ਟੈਲੀਫੋਨ ਨੰਬਰ ਵਿੱਚ ਦੁਹਰਾਉਣਾ) ਨਾਲ ਬੁਲਾਇਆ ਜਾਂਦਾ ਹੈ.
- ਮਨਜ਼ੂਰਸ਼ੁਦਾ ਨਿਯਮਾਂ ਦੀ ਪਾਲਣਾ ਕਰਦਿਆਂ 14.17, ਅਵੀਟੋ ਤਕਨੀਕੀ ਸਹਾਇਤਾ ਅਧਿਕਾਰੀ ਦੀ ਪਾਲਣਾ ਕੀਤੀ ਗਈ, ਕਾਲ ਕਰਨ ਵਾਲੇ ਦੇ ਟੈਲੀਫੋਨ ਨੰਬਰ ਦੀ ਜਾਂਚ ਕੀਤੀ ਅਤੇ ਇਸ ਨੂੰ ਇੱਕ ਖਾਤਾ ਧਾਰਕ ਵਜੋਂ ਪਛਾਣਿਆ.
- ਹਮਲਾਵਰ ਨੇ ਤਕਨੀਕੀ ਸਹਾਇਤਾ ਅਧਿਕਾਰੀ ਨੂੰ ਦੂਜੇ ਵਿੱਚ ਈਮੇਲ ਪਤਾ ਬਦਲਣ ਲਈ ਕਿਹਾ ਸੀ ਅਵਤੋ-ਸਪੁਰਦਗੀ):
- "ਅਵਾਟੋ" ਦੀ ਸਫਲਤਾਪੂਰਵਕ ਤਬਦੀਲੀ ਤੋਂ ਬਾਅਦ ਇੱਕ ਨੋਟੀਫਿਕੇਸ਼ਨ ਭੇਜਦਾ ਹੈ ਕਿ ਈਮੇਲ ਪਤਾ ਸਫਲਤਾਪੂਰਕ ਬਦਲਿਆ ਜਾਂਦਾ ਹੈ. ਅਜੀਬ ਗੱਲ ਇਹ ਹੈ ਕਿ ਨੋਟੀਫਿਕੇਸ਼ਨ ਸਿਰਫ ਨਵੀਂ ਈਮੇਲ ਤੇ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਪੁਰਾਣੇ ਕਿਸੇ ਕੋਲ ਨਹੀਂ ਆਉਂਦਾ:
- ਨਤੀਜੇ ਵਜੋਂ, ਹਮਲਾਵਰਾਂ (ਤਕਨੀਕੀ ਸਹਾਇਤਾ ਅਫਸਰਾਂ ਦੇ ਕਰਮਚਾਰੀਆਂ ਦੀ ਕਿਸਮ ਦੀ ਮਦਦ ਤੋਂ ਬਿਨਾਂ ਨਹੀਂ "ਅਵਟੋ") ਨੂੰ ਮਿਲਿਆ ਜੋ ਤੁਹਾਨੂੰ ਪੈਸੇ ਨੂੰ ਸਜਾਉਣ ਦੀ ਜ਼ਰੂਰਤ ਹੈ.
- 18.36 ਵਜੇ, ਪੀੜਤ ਨੂੰ ਇੱਕ ਨੋਟਿਸ ਮਿਲਿਆ ਕਿ ਪਾਰਸਲ ਪ੍ਰਾਪਤ ਕਰਨ ਵਾਲੇ ਦੇ ਜਾਰੀ ਕਰਨ ਲਈ ਆਇਆ ਸੀ. 19.20 ਵਿਚ, ਪੈਕੇਜ ਨੇ ਖਰੀਦਦਾਰ ਨੂੰ ਲਿਆ:
- 19.32 ਵਿੱਚ, ਹਮਲਾਵਰ ਪਹਿਲਾਂ ਸੋਧੀ ਹੋਈ ਈਮੇਲ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪਾਸਵਰਡ ਛੱਡ ਦਿੰਦੇ ਹਨ ਅਤੇ ਖਾਤੇ ਵਿੱਚ ਅਸਾਨ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ:
- ਪ੍ਰੋਫਾਈਲ ਇਨਪੁਟ ਵੀਪੀਐਨ (ਜੀਓਲੋਕੇਸ਼ਨ - ਬੁਲਗਾਰੀਆ) ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕੀਤਾ ਜਾਂਦਾ ਹੈ. ਬਹੁਤਾ ਸੰਭਾਵਨਾ ਹੈ ਕਿ ਅਵੀਤੋ ਕੋਲ ਕੋਈ ਜੋਖਮ ਪ੍ਰਬੰਧਨ ਪ੍ਰਣਾਲੀ ਨਹੀਂ ਹੁੰਦੀ, ਜਾਂ ਇਹ ਇਸ ਤਰ੍ਹਾਂ ਕੰਮ ਨਹੀਂ ਕਰਦਾ:
- 19.34 'ਤੇ, ਹਮਲਾਵਰ ਫੋਨ ਨੰਬਰ ਹਟਾਉਂਦੇ ਹਨ, ਜੋ ਕਿ 9 ਸਾਲਾਂ ਤੋਂ ਖਾਤੇ ਨਾਲ ਬੱਝੇ ਹੋਏ ਸਨ. ਇਸ ਜ਼ਖਮੀ ਬਾਰੇ ਐਸਐਮਐਸ ਨੋਟੀਫਿਕੇਸ਼ਨ ਨਹੀਂ ਆਉਂਦਾ. ਸ਼ਿਫਟ ਵੀ ਤੁਰੰਤ ਕੀਤੀ ਗਈ ਹੈ - ਕਈਂ ਘੰਟਿਆਂ ਵਿੱਚ ਸਟੈਂਡਬਾਏ ਮੋਡ ਤੋਂ ਬਿਨਾਂ ਆਦਿ.
- 19.51 ਵਿੱਚ, ਅਵੀਝੋ ਲੈਣਦੇਣ ਨੂੰ ਬੰਦ ਕਰਦਾ ਹੈ, ਧੋਖਾਧੜੀ ਕਰਨ ਵਾਲੇ ਫੰਡ ਵਾਪਸ ਲੈਣ ਦਾ ਹਵਾਲਾ ਲੈਂਦੇ ਹਨ.
- 19.52 ਵਿਚ, ਧੋਖਾਧੜੀ ਤੋਂ ਧੋਖਾਧੜੀ 119 ਹਜ਼ਾਰ ਰੂਬਲ ਲੱਗ ਗਏ:
ਪ੍ਰਭਾਵਿਤ ਉਪਭੋਗਤਾ ਨੂੰ ਇਸ ਦੇ ਬਾਵਜੂਦ ਟਿੱਪਣੀ ਕੀਤੀ ਗਈ ਹੈ: "ਸਭ ਤੋਂ ਵੱਧ ਇਸ ਤਰ੍ਹਾਂ ਦੀ ਕਮਜ਼ੋਰੀ ਦੀ ਹੋਂਦ ਦੇ ਸਭ ਤੋਂ ਪ੍ਰਭਾਵਤ ਕਰਦਾ ਹੈ ਕਿ ਇੰਟਰਨੈਟ ਦੀ ਬਹੁਤ ਵੱਡੀ ਗਿਣਤੀ ਵਿਚ ਰੋਲਰ ਹਨ, ਅਤੇ ਐਵਿਟੋ ਸੇਵਾ ਕਿਵੇਂ ਮਿਲ ਸਕਦੇ ਹਨ ਇਸ ਸਮੱਸਿਆ ਦਾ ਹਵਾਲਾ ਦਿੰਦਾ ਹੈ. ਤਕਨੀਕੀ ਸਹਾਇਤਾ "ਅਵਤੋ" ਸੁਤੰਤਰ ਤੌਰ 'ਤੇ ਖਾਤੇ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕੀਤੇ ਗਏ, ਪਰੰਤੂ ਸੇਵਾ ਦੇ ਨੁਮਾਇੰਦਿਆਂ ਨੂੰ ਸਿਰਫ ਭਰੋਸੇਮੰਦ ਪਾਸਵਰਡ ਦੀ ਸ਼ੁਰੂਆਤ ਕਰਨਾ ਅਤੇ ਇਕ ਹੋਰ ਸਟੈਂਡਰਡ ਬਕਵਾਸ ਨੂੰ ਦੱਸਿਆ, ਜਿਸਦਾ ਕੰਮ ਕਰਨ ਲਈ ਕੁਝ ਲੈਣਾ ਦੇਣਾ ਸੀ.
ਵਿਚਾਰ ਵਟਾਂਦਰੇ ਦੇ ਨਤੀਜੇ ਵਜੋਂ, ਅਵੀਟੋਸ ਸੇਵਾ ਦੀ ਸਥਿਤੀ ਇਕੋ ਜਿਹੀ ਰਹਿੰਦੀ ਹੈ - ਅਸੀਂ ਨਹੀਂ ਜਾਣਦੇ ਕਿ ਤੁਹਾਨੂੰ ਕਿਵੇਂ ਹੈਕ ਹੋ ਗਿਆ. ਇਹ ਸਮਝਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਉੱਪਰ ਦੱਸੇ ਗਏ method ੰਗ ਸੰਬੰਧਿਤ ਹਨ - ਹਰੇਕ ਖਾਤੇ "ਅਵਤੋ" ਨੂੰ ਹੋਰ ਟਾਰਕ ਨਾਲ ਹੈਕ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ. ਅਤੇ ਕੋਈ ਵੀ ਜਾਣਕਾਰੀ ਸੁਰੱਖਿਆ ਟੂਲ, ਉਪਭੋਗਤਾ ਇਸ ਕਮਜ਼ੋਰੀ ਨੂੰ ਟਾਕ ਕਰਨ ਦੇ ਯੋਗ ਨਹੀਂ ਹੋਣਗੇ ":
ਸਿਸੋਕਲਬ.ਰੂ ਤੇ ਵਧੇਰੇ ਦਿਲਚਸਪ ਸਮੱਗਰੀ. US ਦੇ ਉਚਾਰਨਾਂ ਦੇ ਗਾਹਕ ਬਣੋ: ਫੇਸਬੁੱਕ | ਵੀ. ਟਵਿੱਟਰ | ਇੰਸਟਾਗ੍ਰਾਮ | ਤਾਰ | ਜ਼ੈਨ | ਮੈਸੇਂਜਰ | ਆਈਸੀਕਿਯੂ ਨਵਾਂ | ਯੂਟਿ .ਬ | ਨਬਜ਼.