అవేటో-డెలివరీ సేవను ఉపయోగించి వారి సాంకేతికతను విక్రయించేటప్పుడు "Avito" 119 వేల రూబిళ్లు కోల్పోయారు. బాధితుని యొక్క దర్యాప్తు ఈ సేవకు క్లిష్టమైన దుర్బలత్వం ఉందని చూపించాడు, దీని వలన దాడి చేసేవారు ఏవిటో ఖాతాను సులభంగా యాక్సెస్ చేయవచ్చు.
2020 చివరిలో, యూజర్ "Avito" Alex.edt సైట్ న 119 వేల రూబిళ్లు కోసం రంగు దిద్దుబాటు ప్యానెల్స్ సమితి విక్రయించింది. కొనుగోలుదారు కనుగొన్నారు మరియు Avito- డెలివరీ ద్వారా ఒక ఒప్పందం జారీ చేయడానికి ఇచ్చింది, ఇది జరిగింది. ఈ వస్తువులు స్వీకర్త నగరానికి విజయవంతంగా పంపిణీ చేయబడ్డాయి, అతను పార్సెల్ను తీసుకున్నాడు మరియు ఆర్డర్ కోసం చెల్లించారు.
అదే రోజు సాయంత్రం, బాధితుడు Avito కు లాగిన్ చేయడానికి ప్రయత్నించాడు, కానీ అతను విజయవంతం కాలేదు - వ్యవస్థ అటువంటి లాగిన్ తో యూజర్, ఫోన్ నంబర్ మరియు Avito కు ఇమెయిల్ కేవలం ఉనికిలో లేదు. Cybersecurity Alex.edt లో ఒక తెలిసిన నిపుణుడు కలిసి, వారు నెట్వర్క్ లాగ్స్, మెయిల్ లాగ్స్, IP చిరునామాలను, అధికార సమయం, కాల్స్ మరియు SMS కోసం లాగిన్ ఆపరేటర్లు, అలాగే మరింత, కానీ వారు హాక్ ప్రయత్నిస్తున్న వద్ద గురిపెట్టి ఏదైనా దొరకలేదా.
సాంకేతిక మద్దతు "Avito" ఖాతాకు పునరుద్ధరించబడిన యాక్సెస్ మరుసటి రోజు మరియు బాధితుడు పూర్తిగా అదనపు ఫోన్ నంబర్ ఖాతాకు ముడిపడి ఉందని, అంతేకాకుండా, ధృవీకరించబడలేదు.
బాధితుడు నిర్వహించిన దర్యాప్తు ఏవిటో-డెలివరీ సేవ యొక్క క్లిష్టమైన దుర్బలత్వం కనుగొనబడింది, ఏ దాడిని సులభంగా ఏ ఖాతాను పొందవచ్చు.
Avito ఖాతా స్వతంత్రంగా బాక్స్బెర్రీ ఇన్వాయిస్ను స్వతంత్రంగా ఏర్పరుస్తుంది, ఇది Avito ఖాతాకు సంబంధించిన టెలిఫోన్ నంబర్ను సూచిస్తుంది, ఇది పార్సెల్ లో ఉన్నది, అలాగే పూర్తి వ్యయంతో ఉన్న పేరును సూచిస్తుంది. దీని ఫలితంగా, పార్శిల్ యొక్క కదలిక సమయంలో, లాజిస్టిక్స్ ప్రక్రియలలో పాల్గొనే అనేకమంది ఇతర వ్యక్తులు గోప్య సమాచారం సమితిని అందుకుంటారు, ఇది సమస్యను, దాని విలువ, టెలిఫోన్ నంబర్కు డెలివరీ సమయం సెట్ చేయడానికి అనుమతిస్తుంది విక్రేత:
కానీ అనేక రవాణా సంస్థలలో ఇటువంటి అభ్యాసాలు ఉన్నాయి, కనుక ఇది ఎవిటో విషయంలో కాదు, అది ఎవిటో విషయంలో కాదు. సమస్య Avito ఒక వాయిస్ సాంకేతిక మద్దతు సేవ (సంఖ్య 8-800-, మొదలైనవి) ఉంది, ఇది కేవలం ఖాతాకు ముడిపడి ఫోన్ నంబర్ అని పిలుస్తుంది ఉంటే యూజర్ గుర్తించవచ్చు పేరు. ప్రొఫైల్తో వాయిస్ సాంకేతిక మద్దతులో విజయవంతమైన అధికారం తరువాత, మీరు ఇమెయిల్ చిరునామాను మార్చడంతోపాటు ఏ చర్యలను చేయవచ్చు.
సంభావ్య బాధితుల (avito వినియోగదారులు) కోసం, మరొక సమస్య అటువంటి పద్ధతి ఉపయోగించి ఇమెయిల్ చిరునామా మార్పు "నిశ్శబ్ద మోడ్" లో నిర్వహిస్తారు - పాత ఇమెయిల్ చిరునామా యూజర్ యొక్క నోటిఫికేషన్లు అందుకోలేరు. అందువలన, Avito యొక్క అధికారం కోసం యూజర్ ఒక "ఫోన్ నంబర్ + పాస్వర్డ్" బండిల్ వర్తిస్తుంది, అప్పుడు ఖాతాలో దాని ఇమెయిల్ చొరబాటు భర్తీ ఉంటే అది తెలియదు.
ప్రభావిత వినియోగదారు అలెక్స్.డెట్ ఈవెంట్స్ యొక్క క్రోనాలజీని పునరుద్ధరించగలిగాడు:
- డిసెంబరు 28 న దాడి చేసేవారు 14.16 న నకిలీ ఐడి (అలెక్స్.డెట్ యొక్క టెలిఫోన్ సంఖ్యలో పునరావృత సంఖ్యలు) Avito మద్దతుకు ఫోన్ నంబర్ అని పిలుస్తారు.
- 14.17, Avito సాంకేతిక మద్దతు ఆఫీసర్, ఆమోదిత నిబంధనలను అనుసరించి, కాలర్ యొక్క టెలిఫోన్ నంబర్ను తనిఖీ చేసి ఒక ఖాతాదారుగా గుర్తించబడింది.
- ఈ దాడిని మరొకదానికి ఇమెయిల్ చిరునామాను మార్చడానికి సాంకేతిక మద్దతు అధికారిని అడిగారు (ఉద్యోగి అనుమానాన్ని కలిగించలేదు, అయినప్పటికీ ఇమెయిల్ను 2011 నుండి మార్చలేనప్పటికీ, మరియు ఒక షిఫ్ట్ కోసం అభ్యర్థన ఖరీదైన పార్సెల్ యొక్క ఆరోపణల ప్రదర్శన రోజున భర్తీ చేయబడింది Avito- డెలివరీ):
- "Avito" యొక్క విజయవంతమైన మార్పు తర్వాత ఇమెయిల్ చిరునామా విజయవంతంగా భర్తీ చేసే నోటిఫికేషన్ను పంపుతుంది. అవగాహన విషయం నోటిఫికేషన్ కొత్త ఇమెయిల్కు మాత్రమే పంపబడుతుంది, మరియు పాతది ఏదీ వస్తుంది:
- ఫలితంగా, దాడి చేసేవారు (సాంకేతిక మద్దతు అధికారుల ఉద్యోగుల ఉద్యోగుల సహాయం లేకుండా "ఎవిటో") మీరు డబ్బును అలంకరించేందుకు అవకాశాన్ని కలిగి ఉండాలి.
- 18.36 వద్ద, బాధితుడు ఈ పార్సెల్ గ్రహీత జారీకి వచ్చిన నోటీసును అందుకున్నాడు. 19.20 లో, ప్యాకేజీ కొనుగోలుదారుని తీసుకుంది:
- 19.32 లో, దాడిదారులు గతంలో సవరించిన ఇమెయిల్ను ఉపయోగించి పాస్వర్డ్ను వదలండి మరియు ఖాతాకు సులభంగా ప్రాప్యతను పొందుతారు:
- ప్రొఫైల్ ఇన్పుట్ VPN (జియోలొకేషన్ - బల్గేరియా) ఉపయోగించి నిర్వహిస్తుంది. ఎక్కువగా, Avito అన్ని ప్రమాద నిర్వహణ వ్యవస్థ కలిగి లేదు, లేదా అది తప్పక పని లేదు:
- 19.34 వద్ద, దాడి చేసేవారు ఫోన్ నంబర్ను తీసివేస్తారు, ఇది 9 సంవత్సరాలు ఖాతాతో ముడిపడి ఉంది. ఈ గాయపడిన గురించి SMS నోటిఫికేషన్ రాదు. షిఫ్ట్ వెంటనే తయారు చేయబడుతుంది - అనేక గంటల్లో స్టాండ్బై మోడ్ లేకుండా మొదలైనవి
- 19.51 లో, Avito లావాదేవీని ముగుస్తుంది, మోసపూరితమైన నిధుల ఉపసంహరణకు సూచనగా ఉంటుంది.
- 19.52 లో, ఫెస్టర్లు సేవ నుండి 119 వేల రూబిళ్లు తీసుకుంటారు:
ప్రభావిత వినియోగదారుడు జరుగుతున్నట్లుగా వ్యాఖ్యానించాడు: "అటువంటి దుర్బలత్వం యొక్క ఉనికిని ఎక్కువగా ప్రభావితం చేస్తాడు, ఇంటర్నెట్లో దాడి చేసేవారు నకిలీ ఫోన్ నంబర్ల నుండి కాల్ చేయగల రోలర్లు, మరియు ఏవిటో సేవ ఈ సమస్యను సూచిస్తుంది. సాంకేతిక మద్దతు "Avito" స్వతంత్రంగా ఖాతాకు మోసగాళ్లు పూర్తి యాక్సెస్ అందించిన, కానీ సేవా ప్రతినిధులు అది మరింత నమ్మకమైన పాస్వర్డ్ను కనుగొనడం మరియు మరొక ప్రామాణిక అర్ధంలేని చెప్పారు, ఇది సమస్య తో ఏమీ లేదు.
చర్చ ఫలితంగా, Avito సేవ యొక్క స్థానం అదే ఉంది - మేము మీరు హ్యాక్ ఎలా తెలియదు. పైన వివరించిన పద్ధతి సంబంధితది అని అర్ధం చేసుకోవాలి - ప్రతి ఖాతా "Avito" మరింత టార్క్ తో హ్యాక్ చేయవచ్చు. మరియు ఉపయోగించిన ఏదైనా సమాచారం భద్రతా సాధనాలు, వినియోగదారులు ఈ దుర్బలతను తట్టుకోలేరు ":
Cisoclub.ru పై మరింత ఆసక్తికరమైన విషయం. US కు సబ్స్క్రయిబ్: ఫేస్బుక్ | VK | ట్విట్టర్ | Instagram | టెలిగ్రామ్ | జెన్ | మెసెంజర్ | ICQ కొత్త | YouTube | పల్స్.