Një nga përdoruesit "Avito" humbi 119 mijë rubla kur shesin teknologjinë e tyre duke përdorur shërbimin e shpërndarjes avito. Hetimi i viktimës tregoi se shërbimi ka një cenueshmëri kritike, për shkak të së cilës sulmuesit mund të hyjnë lehtësisht në ndonjë llogari avito.
Në fund të vitit 2020, përdoruesi "AVITO" alex.edt shitur në faqen e një grupi të paneleve të korrigjimit të ngjyrave për 119 mijë rubla. Blerësi gjeti dhe ofroi të lëshojë një marrëveshje përmes AVITO-Dorëzimit, e cila është bërë. Mallrat u dorëzuan me sukses në qytetin e marrësit, ai mori parcelën dhe pagoi për porosinë.
Në mbrëmjen e të njëjtës ditë, viktima u përpoq të hyjë në Avito, por ai nuk pati sukses - sistemi raportoi se përdoruesi me një hyrje të tillë, numri i telefonit dhe email në AVITO thjesht nuk ekziston. Së bashku me një specialist të njohur në cybersecurity alex.edt, ata kontrolluan regjistrat e rrjetit, shkrimet e postës, adresat IP, kohën e autorizimit, operatorët e identifikimit për thirrjet dhe SMS-të, si dhe shumë më tepër, por nuk mund të gjenin ndonjë gjë duke u përpjekur të hack.
Mbështetja teknike "AVITO" rivendosi qasjen në llogarinë vetëm të nesërmen dhe viktima e pa që një numër i plotë i telefonit ishte i lidhur me llogarinë, e cila, për më tepër, nuk u konfirmua.
Hetimi i kryer nga viktima çoi në faktin se u zbulua ndjeshmëria kritike e shërbimit të shpërndarjes së avito-ofrimit, me të cilat sulmuesit lehtë mund të hyjnë në ndonjë llogari.
Filloni një përshkrim të problemit që qëndron me faktin se shërbimi Avito në mënyrë të pavarur formon faturën e boksit, që tregon numrin e telefonit të shitësit të lidhur me llogarinë e AVITO, emri i asaj që është në parcelë, si dhe kostoja e plotë. Si rezultat i kësaj, në kohën e lëvizjes së parcelës, stafit të kutisë dhe shumë njerëzve të tjerë që marrin pjesë në proceset e logjistikës marrin një sërë informacioni konfidencial, i cili u lejon atyre të vendosin kohën e dorëzimit në pikën e lëshimit, vlerën e saj, numrin e telefonit e shitësit:
Por ka praktika të ngjashme në shumë kompani transporti, kështu që mund të konsiderohet e zakonshme, por jo në rastin e AVITO. Problemi është se AVITO ka një shërbim të mbështetjes teknike të zërit (numri 8-800, etj.), Ku përdoruesi mund të identifikohet nëse thjesht e quan numrin e telefonit që është i lidhur me llogarinë. Pas autorizimit të suksesshëm në mbështetjen teknike të zërit me një profil, ju mund të bëni ndonjë veprim, duke përfshirë ndryshimin e adresës së postës elektronike.
Për viktimat e mundshme (përdoruesit e AVITO), një problem tjetër është se ndryshimi i adresës së postës elektronike duke përdorur një metodë të tillë kryhet në "Modalitetin e Qetë" - nuk ka njoftime të përdoruesit në adresën e vjetër të postës elektronike nuk do të marrë. Prandaj, nëse përdoruesi për autorizim në AVITO zbaton një "numër telefoni + fjalëkalim", atëherë nuk e di nëse e-mail në llogari zëvendësoi ndërhyrës.
Përdoruesi i prekur alex.edt ishte në gjendje të rivendoste kronologjinë e ngjarjeve:
- Sulmuesit më 28 dhjetor në 14.16 e quajtën numrin e telefonit me ID të rremë (numrat e përsëritura në numrin e telefonit të Alex.edt) në Mbështetjen Avito.
- Në 14.17, Zyrtari i Mbështetjes Teknike të Avito, pas rregulloreve të miratuara, kontrolloi numrin e telefonit të telefonuesit dhe e identifikoi atë si mbajtës të llogarisë.
- Sulmuesi i kërkoi oficerit të mbështetjes teknike të ndryshojë adresën e postës elektronike në një tjetër (punonjësi nuk shkaktoi dyshime edhe pse email-i nuk ndryshoi që nga viti 2011, dhe kërkesa për një ndryshim u zëvendësua në ditën e prezantimit të dyshuar të parcelës së shtrenjtë me të AVITO-DELIVERY):
- Pas ndryshimit të suksesshëm të "AVITO" dërgon një njoftim se adresa e emailit zëvendësohet me sukses. Gjëja më e çuditshme është se njoftimi është dërguar vetëm në emailin e ri, dhe asgjë nuk vjen në një të vjetër:
- Si rezultat, sulmuesit (jo pa ndihmën e punonjësve të zyrtarëve të mbështetjes teknike "Avito") morën gjithçka që ju duhet të keni mundësinë për të dekoruar paratë.
- Në orën 18.36, viktima mori një njoftim se parcela erdhi në lëshimin e marrësit. Në 19.20, paketa mori blerësin:
- Në 19.32, sulmuesit heqin fjalëkalimin duke përdorur emailin e modifikuar më parë dhe për të marrë qasje të lehtë në llogari:
- Inputi i profilit kryhet duke përdorur VPN (Geolocation - Bullgari). Më shumë gjasa, AVITO aspak nuk ka një sistem të menaxhimit të rrezikut, ose nuk funksionon siç duhet:
- Në 19.34, sulmuesit heqin numrin e telefonit, i cili ishte i lidhur me llogarinë për 9 vjet. Njoftimi i SMS për këtë të plagosur nuk vjen. Zhvendosja është bërë gjithashtu menjëherë - pa modalitetin e gatishmërisë në disa orë, etj.
- Në 19.51, AVITO mbyll transaksionin, fraudsters marrin një referencë për tërheqjen e fondeve.
- Në 19.52, fraudsters marrin 119 mijë rubla nga shërbimi:
Përdoruesi i prekur komentoi si më poshtë ndodhja: "Më së shumti ndikon më shumë nga ekzistenca e një dobësie të tillë, pavarësisht nga fakti se interneti ka një numër të madh të rrotulluesve që sulmuesit mund të telefonojnë nga numrat e rremë të telefonit dhe si shërbimi i avito i referohet këtij problemi. Mbështetja teknike "AVITO" siguroi në mënyrë të pavarur fraudsters qasje të plotë në llogari, por përfaqësuesit e shërbimit përsëritën vetëm se ishte e nevojshme për të shpikur një fjalëkalim më të besueshëm dhe tregoi një tjetër absurditet standard, i cili nuk kishte të bënte me problemin.
Si rezultat i diskutimit, pozita e shërbimit AVITO mbeti e njëjtë - ne nuk e dimë se si jeni hacked. Duhet të kuptohet se metoda e përshkruar më sipër është e rëndësishme - çdo llogari "Avito" mund të hackohet me çift rrotullues të mëtejshëm. Dhe çdo mjet për sigurinë e informacionit të përdorur, përdoruesit nuk do të jenë në gjendje të përballojnë këtë dobësi ":
Materiale më interesante në Cisoclub.ru. Regjistrohu për ne: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Messenger | ICQ New | YouTube | Impuls.