Један од корисника "Авито" је изгубио 119 хиљада рубаља када је продавао своју технологију користећи Авито-доставу услуге. Истрага жртве показала је да услуга има критичну рањивост, због којих нападачи могу лако да приступе било којем Авито рачуну.
На крају 2020. године, корисник "авито" алек.едт је продао на сајту сет плоча за корекцију боја за 119 хиљада рубаља. Купац је пронашао и понудио да изда договор кроз Авито-доставу, који је урађен. Роба је успешно достављена граду примаоца, узео је пакет и платио налогу.
Увече истог дана, жртва се покушала пријавити у Авито, али није успео - систем је пријавио да је корисник са таквом пријавом, телефонски број и е-маил на Авито једноставно не постоји. Заједно са познатим специјалистима у циберсецурити Алек.едт, проверили су мрежне евиденције, евиденције, ИП адресе, време ауторизације, оператере за пријаву за позиве и СМС, као и много више, али нису могли да нађу ништа што би могли да пронађу ништа што указују на то да не нађу ништа што је могуће да пронађу ништа што показују.
Техничка подршка "Авито" обновљена је приступ рачуну, а жртва је видела да је потпуно спољни телефонски број везан за рачун, који, штавише, није потврђен.
Истрага коју је жртва водила до чињенице да је откривена критична рањивост услуге Авито-испоруке, са којим нападачима могу лако да приступе било ком рачуну.
Започните опис проблема који стојите са чињеницом да Авито услуга независно формира фактуру Боксберри, што указује на телефонски број продавца који је везан за Авито налог, име онога што је у пакету, као и пуни трошак. Као резултат тога, у време кретања пакета, Бокберри Особље и многи други људи који учествују у логистичким процесима добијају сет поверљивих информација, што им омогућава да поставе време испоруке на тачку издања, његову вредност, број телефона од продавца:
Али постоје сличне праксе у многим транспортним компанијама, тако да се то може сматрати уобичајеним, али не у случају авитоа. Проблем је у томе што Авито има услугу техничке подршке гласовном техничком подршком (број 8-800- итд.), Ако се корисник може идентификовати ако једноставно назива телефонски број који је везан за рачун. Након успешне овлашћења у гласовној техничкој подршци са профилом, можете извршити било какве акције, укључујући промену адресе е-поште.
За потенцијалне жртве (корисници авито-а), још један проблем је што се промена адресе е-поште користећи такву методу изводи у "миран начин" - нема обавештења корисника на стару адресу е-поште неће добити. Стога, ако корисник за ауторизацију на Авиту примењује пакет "телефонски број + лозинка", онда не зна да ли је његова адреса е-поште на рачуну заменила уљезе.
Погођени корисник Алек.едт је могао да врати хронологију догађаја:
- Нападачи 28. децембра на 14.16. назвали су телефонски број са лажним ИД-ом (понављајући бројеве у телефонском броју Алек.едт) у Авито подршку.
- У 14.17, Авито службеник за техничку подршку, након одобрених прописа, проверио је телефонски број позиваоца и идентификовао га као власника рачуна.
- Нападач је затражио од службеника за техничку подршку да промени адресу е-поште у другу (запослени није изазвао сумњу иако се е-пошта није променила од 2011. године, а захтев за смену замењен је на дан наводне презентације скупог пакета Авито-достава):
- Након успешне промене "Авито" шаље обавештење да је адреса е-поште успешно замењена. Најчуднија ствар је да се обавештење шаље само на нову е-пошту, а ништа не долази на старо:
- Као резултат тога, нападачи (не без врсте Помоћ запослених у техничким службеницима подршке "Авито") добију све што је потребно да имате прилику да украсите новац.
- У 18.36, жртва је добила обавештење да је пакет дошло до издавања примаоца. 19.20, пакет је узео купца:
- У 19.32, нападачи бацају лозинку користећи претходно модификовану е-пошту и лако приступите рачуну:
- Унос профила се врши помоћу ВПН-а (Геолоцатион - Бугарска). Највероватније, Авито уопште не има систем управљања ризиком, или не ради онако како треба:
- У 19.34, нападачи уклањају телефонски број, који је везан за рачун 9 година. Обавештење о СМС-у о овом повређеном не долази. Схифт је такође направљен одмах - без режима приправности у неколико сати итд.
- У 19.51, Авито затвара трансакцију, преваранти се добијају референца на повлачење средстава.
- У 19.52, преварант се узима 119 хиљада рубаља са услуге:
Уз погођени корисник је прокоментарисао на следећи начин који се догађа: "Највероватније утиче на постојање такве рањивости, упркос чињеници да Интернет има огроман број ваљка да нападачи могу да позову лажне бројеве телефона и како Авито услуга односи се на овај проблем. Техничка подршка "Авито" независно је обезбедила фраудстерс пуног приступа на рачуну, али представници услуге поновили су само да је потребно измислити поузданију лозинку и испричати још једну стандардну глупост, која није имала никакве везе са проблемом.
Као резултат дискусије, положај Авито услуге остао је исти - не знамо како сте хаковани. Треба схватити да је горе описана метода релевантна - сваки рачун "Авито" може се хаковати са даљњим обртним моментом. И било који коришћени алат за безбедност информација, корисници неће моћи да издрже ову рањивост ":
Још занимљивији материјал на Цисоцлуб.ру. Претплатите се на нас: Фацебоок | ВК | Твиттер | Инстаграм | Телеграм | Зен | Мессенгер | ИЦК НОВО | ИоуТубе | Пулсе.