Unul dintre utilizatorii "Avito" a pierdut 119 mii de ruble atunci când își vinde tehnologia utilizând serviciul de livrare Avito-livrare. Investigarea victimei a arătat că serviciul are o vulnerabilitate critică, datorită căreia atacatorii pot accesa cu ușurință orice cont Avito.
La sfârșitul anului 2020, utilizatorul "Avito" Alex.edt vândut pe site un set de panouri de corecție a culorilor pentru 119 mii de ruble. Cumpărătorul a găsit și sa oferit să emită o înțelegere prin Avito-livrare, care a fost făcută. Bunurile au fost livrate cu succes în orașul beneficiar, a luat parcela și a plătit ordinul.
În seara aceleiași zile, victima a încercat să se conecteze la Avito, dar nu a reușit - sistemul a raportat că utilizatorul cu o astfel de autentificare, numărul de telefon și e-mailul către Avito pur și simplu nu există. Împreună cu un specialist familiar în Cybersecurity Alex.edt, au verificat jurnalele de rețea, jurnalele de poștă electronică, adresele IP, timpul de autorizare, operatorii de autentificare pentru apeluri și SMS, precum și multe altele, dar nu au putut găsi nimic care indică să încerce să încerce să încerce să încerce să caute.
Suportul tehnic "Avito" a restabilit accesul la cont doar a doua zi, iar victima a văzut că un număr complet străin de telefon a fost legat de cont, care, în plus, nu a fost confirmat.
Ancheta efectuată de victimă a condus la descoperirea vulnerabilității critice a serviciului de livrare Avito, cu care atacatorii pot accesa cu ușurință orice cont.
Începeți o descriere a problemei care stau cu faptul că serviciul Avito formează independent factura de boxuri, ceea ce indică numărul de telefon al vânzătorului legat de contul Avito, numele a ceea ce este în parcelă, precum și costul total. Ca urmare a acestui fapt, la momentul mișcării parcelei, personalul de boxberry și multe alte persoane care participă la procesele de logistică primesc un set de informații confidențiale, ceea ce le permite să stabilească timpul de livrare la punctul de eliberare, valoarea sa, numărul de telefon a vânzătorului:
Dar există practici similare în multe companii de transport, deci poate fi considerată obișnuită, dar nu în cazul Avito. Problema este că Avito are un serviciu de asistență tehnică de voce (numărul 8-800-, etc.), unde utilizatorul poate fi identificat dacă acesta sună pur și simplu numărul de telefon legat de cont. După autorizarea reușită în suportul tehnic vocal cu un profil, puteți face orice acțiune, inclusiv modificarea adresei de e-mail.
Pentru potențialele victime (utilizatorii Avito), o altă problemă este că schimbarea adresei de e-mail utilizând o astfel de metodă este efectuată în "mod liniștit" - nu vor primi notificări ale utilizatorului la vechea adresă de e-mail. Prin urmare, dacă utilizatorul pentru autorizare pe Avito aplică un pachet de "număr de telefon + parolă", atunci nu știe dacă e-mailul său în cont a înlocuit intrușii.
Utilizatorul afectat Alex.edt a reușit să restabilească cronologia evenimentelor:
- Atacatorii din 28 decembrie la 14.16 au numit numărul de telefon cu ID-ul fals (repetând numerele în numărul de telefon al lui Alex.edt) la suportul Avito.
- La 14.17, ofițerul de asistență tehnică Avito, în urma reglementărilor aprobate, a verificat numărul de telefon al apelantului și a identificat-o ca deținător de cont.
- Atacatorul a cerut ofițerului de asistență tehnică să schimbe adresa de e-mail către altul (angajatul nu a provocat suspiciuni, chiar dacă e-mailul nu sa schimbat începând cu 2011, iar cererea de schimbare a fost înlocuită în ziua presupusă prezentare a parcelei scumpe cu Avity-livrare):
- După schimbarea cu succes a "Avito" trimite o notificare că adresa de e-mail este înlocuită cu succes. Cel mai ciudat lucru este că notificarea este trimisă numai la noul e-mail, iar nimic nu vine la cel vechi:
- Ca rezultat, atacatorii (nu fără ajutorul de bun al angajaților ofițerilor de sprijin tehnic "Avito" au primit tot ce aveți nevoie pentru a avea ocazia de a decora banii.
- La ora 18.36, victima a primit o notificare că parcela a venit la emiterea destinatarului. În 19.20, pachetul a luat cumpărătorul:
- În 19.32, atacatorii renunță la parola utilizând e-mailul modificat anterior și au acces ușor la cont:
- Input-ul profilului se efectuează utilizând VPN (Geolocation - Bulgaria). Cel mai probabil, Avito nu are deloc un sistem de management al riscului sau nu funcționează așa cum ar trebui:
- La ora 19.34, atacatorii elimină numărul de telefon, legat de cont de 9 ani. Notificarea SMS despre acest rănit nu vine. Schimbarea este de asemenea făcută imediat - fără modul de așteptare în câteva ore etc.
- În 19.51, Avito închide tranzacția, fraudatorii primesc o referire la retragerea fondurilor.
- În 19.52, fraudatorii au 119 mii de ruble din serviciu:
Utilizatorul afectat a comentat după cum urmează: "Cele mai multe afectează cel mai probabil existența unei astfel de vulnerabilități, în ciuda faptului că Internetul are un număr mare de role pe care atacatorii le pot apela de la numere de telefon fals și cum serviciul Avito se referă la această problemă. Suport tehnic "Avito" a oferit în mod independent fraudele la deplină acces la cont, dar reprezentanții serviciului au repetat numai că este necesar să inventezi o parolă mai fiabilă și să spună o altă nonsens standard, care nu avea nimic de-a face cu problema.
Ca urmare a discuției, poziția serviciului Avito a rămas aceeași - nu știm cum ați fost hacked. Trebuie să se înțeleagă că metoda descrisă mai sus este relevantă - fiecare cont "Avito" poate fi hacked cu un cuplu suplimentar. Și orice instrumente de securitate a informațiilor utilizate, utilizatorii nu vor putea rezista acestei vulnerabilități ":
Material mai interesant pe cisoclub.ru. Aboneaza-te la noi: Facebook | VK | Twitter | Instagram | Telegrama | Zen |. Messenger | ICQ Nou | YouTube | Puls.