Um dos usuários "Avito" perdeu 119 mil rublos ao vender sua tecnologia usando o serviço de entrega de avito. A investigação da vítima mostrou que o serviço tem uma vulnerabilidade crítica, devido a quais invasores podem acessar facilmente qualquer conta de Avito.
No final de 2020, o usuário "Avito" Alex.edt vendeu no site um conjunto de painéis de correção de cores para 119 mil rublos. O comprador encontrou e se ofereceu para emitir um acordo através da entrega de avito, que foi feito. As mercadorias foram entregues com sucesso à cidade do destinatário, assumiu a parcela e pagou pela ordem.
Na noite do mesmo dia, a vítima tentou fazer login no Avito, mas ele não teve sucesso - o sistema informou que o usuário com esse login, o número de telefone e o email para o Avito simplesmente não existe. Juntamente com um especialista familiar no Cybersecurity Alex.edt, eles verificaram logs de rede, logs de correio, endereços IP, tempo de autorização, operadores de login para chamadas e SMS, além de muito mais, mas não conseguiram encontrar nada apontando para tentar hackear.
O suporte técnico "Avito" restaurou o acesso à conta apenas no dia seguinte e a vítima viu que um número de telefone completamente estranho foi vinculado à conta, que, além disso, não foi confirmado.
A investigação conduzida pela vítima levou ao fato de que a vulnerabilidade crítica do serviço de entrega de avito foi descoberta, com quais invasores podem facilmente acessar qualquer conta.
Inicie uma descrição do problema em pé com o fato de que o serviço Avito forma independentemente a fatura Boxberry, que indica o número de telefone do vendedor vinculado à conta do Avito, o nome do que está na parcela, bem como o custo total. Como resultado disso, no momento do movimento da parcela, a equipe Boxberry e muitas outras pessoas que participam de processos de logística recebem um conjunto de informações confidenciais, que permite definir o tempo de entrega para o ponto de emissão, seu valor, número de telefone, do vendedor:
Mas há práticas semelhantes em muitas empresas de transporte, por isso pode ser considerada usual, mas não no caso de Avito. O problema é que o Avito possui um serviço de suporte técnico de voz (número 8-800-, etc.), onde o usuário pode ser identificado se simplesmente chama o número de telefone que está vinculado à conta. Após autorização bem-sucedida no suporte técnico de voz com um perfil, você pode fazer quaisquer ações, incluindo alterar o endereço de e-mail.
Para potenciais vítimas (usuários do Avito), outro problema é que a mudança de endereço de e-mail usando esse método é executada no "modo silencioso" - nenhuma notificação do usuário para o endereço de e-mail antigo não receberá. Portanto, se o usuário para autorização no Avito aplicar um pacote "número de telefone + senha", então ele não sabe se o seu email na conta substituiu os intrusos.
O usuário afetado Alex.edt foi capaz de restaurar a cronologia dos eventos:
- Os atacantes em 28 de dezembro de 14.16 chamavam o número de telefone com o ID falso (repetindo números no número de telefone de Alex.edt) para suporte a Avito.
- Em 14.17, o Avito Technical Support Officer, seguindo os regulamentos aprovados, verificou o número de telefone do chamador e identificou-o como um titular da conta.
- O atacante pediu ao diretor de suporte técnico para alterar o endereço de e-mail para outro (o funcionário não causou suspeita, embora o e-mail não tenha mudado desde 2011, e o pedido de uma mudança foi substituído no dia da suposta apresentação da parcela cara com AVITO-ENTREGA):
- Depois que a mudança bem sucedida de "Avito" envia uma notificação de que o endereço de e-mail é substituído com sucesso. A coisa mais estranha é que a notificação é enviada apenas para o novo e-mail, e nada chega ao antigo:
- Como resultado, os atacantes (não sem a gentil ajuda dos funcionários dos oficiais de apoio técnico "Avito") conseguiram tudo que você precisa para ter a oportunidade de decorar o dinheiro.
- Em 18,36, a vítima recebeu um aviso de que a parcela chegou à emissão do destinatário. Em 19,20, o pacote levou o comprador:
- Em 19,32, os invasores soltam a senha usando o e-mail modificado anteriormente e recebem acesso fácil à conta:
- A entrada do perfil é realizada usando VPN (Geolocalização - Bulgária). Muito provavelmente, o Avito não tem que qualquer forma um sistema de gerenciamento de risco, ou não funciona como deveria:
- Em 19,34, os invasores removem o número de telefone, que foi vinculado à conta por 9 anos. Notificação SMS sobre este ferido não vem. A mudança também é feita imediatamente - sem modo de espera em várias horas, etc.
- Em 19.51, o Avito fecha a transação, os fraudadores recebem uma referência à retirada de fundos.
- Em 19,52, os fraudadores levam 119 mil rublos a partir do serviço:
O usuário afetado comentou como segue o acontecimento: "O mais afeta o mais provável da existência de tal vulnerabilidade, apesar do fato de que a Internet tem um grande número de rolos que os invasores podem chamar de números de telefone falsos e como o serviço Avito refere-se a este problema. Suporte técnico "AVITO" Independentemente forneceu fraudadores de acesso total à conta, mas os representantes de serviços repetiram apenas que era necessário inventar uma senha mais confiável e disse a outro absurdo padrão, que não tinha nada a ver com o problema.
Como resultado da discussão, a posição do serviço de Avito permaneceu a mesma - não sabemos como você foi invadido. Deve-se entender que o método descrito acima é a relevante - cada conta "avito" pode ser hackeada com maior torque. E quaisquer ferramentas de segurança da informação usadas, os usuários não poderão suportar essa vulnerabilidade ":
Material mais interessante em cisoclub.ru. Inscreva-se: Facebook | Vk |.. Twitter | Instagram | Telegrama | Zen | Mensageiro | ICQ New | YouTube | Pulso.