หนึ่งในผู้ใช้ "Avito" แพ้ 119,000 รูเบิลเมื่อขายเทคโนโลยีของพวกเขาโดยใช้บริการจัดส่ง AVITO การสอบสวนของเหยื่อแสดงให้เห็นว่าบริการมีช่องโหว่ที่สำคัญเนื่องจากผู้โจมตีสามารถเข้าถึงบัญชี AVITO ใด ๆ ได้อย่างง่ายดาย
ในตอนท้ายของปี 2020 ผู้ใช้ "Avito" Alex.edt ขายบนเว็บไซต์ชุดของการแก้ไขสีสำหรับ 119,000 รูเบิล ผู้ซื้อพบและเสนอให้ออกข้อตกลงผ่าน AVITO-Delivery ซึ่งทำเสร็จแล้ว สินค้าถูกส่งไปยังเมืองของผู้รับสำเร็จแล้วเขาได้รับพัสดุและชำระเงินสำหรับการสั่งซื้อ
ในตอนเย็นของวันเดียวกันเหยื่อพยายามเข้าสู่ระบบ Avito แต่เขาไม่ประสบความสำเร็จ - ระบบรายงานว่าผู้ใช้ที่มีการเข้าสู่ระบบดังกล่าวหมายเลขโทรศัพท์และอีเมลไปยัง Avito เพียงไม่มีอยู่ ร่วมกับผู้เชี่ยวชาญที่คุ้นเคยใน Cybersecurity Alex.edt พวกเขาตรวจสอบบันทึกเครือข่ายบันทึกอีเมลที่อยู่ IP เวลาการอนุญาตผู้ให้บริการการเข้าสู่ระบบสำหรับการโทรและ SMS เช่นเดียวกับมากขึ้น แต่พวกเขาไม่พบสิ่งที่ชี้ไปที่การพยายามแฮ็ค
การสนับสนุนทางเทคนิค "AVITO" เรียกคืนการเข้าถึงบัญชีเพียงในวันถัดไปและผู้ที่ตกเป็นเหยื่อเห็นว่าหมายเลขโทรศัพท์ที่ไม่เกี่ยวข้องอย่างสมบูรณ์ถูกเชื่อมโยงกับบัญชีซึ่งยิ่งไปกว่านั้นยังไม่ได้รับการยืนยัน
การสอบสวนที่เกิดขึ้นจากเหยื่อนำไปสู่ความจริงที่ว่าช่องโหว่ที่สำคัญของการค้นพบบริการการจัดส่ง Avito ซึ่งผู้โจมตีสามารถเข้าถึงบัญชีใด ๆ ได้อย่างง่ายดาย
เริ่มต้นคำอธิบายของปัญหาที่ยืนอยู่กับข้อเท็จจริงที่ว่าบริการ Avito เป็นอิสระในรูปแบบใบแจ้งหนี้แบบ BACHBERRY ซึ่งระบุหมายเลขโทรศัพท์ของผู้ขายที่เชื่อมโยงกับบัญชี AVITO ชื่อของสิ่งที่อยู่ในพัสดุเช่นเดียวกับค่าใช้จ่ายทั้งหมด อันเป็นผลมาจากเรื่องนี้ในช่วงเวลาของการเคลื่อนไหวของพัสดุ Boxberry พนักงานและคนอื่น ๆ ที่เข้าร่วมในกระบวนการโลจิสติกส์ได้รับชุดข้อมูลที่เป็นความลับซึ่งช่วยให้พวกเขาตั้งเวลาการส่งมอบไปยังจุดปัญหาค่าโทรศัพท์ ของผู้ขาย:
แต่มีการปฏิบัติที่คล้ายกันใน บริษัท ขนส่งหลายแห่งดังนั้นจึงสามารถพิจารณาได้ตามปกติ แต่ไม่ใช่ในกรณีของ Avito ปัญหาคือ AVITO มีบริการสนับสนุนด้านเทคนิคด้วยเสียง (หมายเลข 8-800- ฯลฯ ) ที่ผู้ใช้สามารถระบุได้หากใช้หมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชี หลังจากการอนุมัติที่ประสบความสำเร็จในการสนับสนุนด้านเทคนิคด้วยโปรไฟล์คุณสามารถทำการกระทำใด ๆ รวมถึงการเปลี่ยนที่อยู่อีเมล
สำหรับผู้ที่ตกเป็นเหยื่อที่มีศักยภาพ (ผู้ใช้ AVITO) ปัญหาอื่นคือการเปลี่ยนที่อยู่อีเมลโดยใช้วิธีการดังกล่าวจะดำเนินการใน "โหมดเงียบ" - ไม่มีการแจ้งเตือนของผู้ใช้ไปยังที่อยู่อีเมลเก่าจะไม่ได้รับ ดังนั้นหากผู้ใช้สำหรับการอนุญาตใน AVITO ใช้มัด "หมายเลขโทรศัพท์ + รหัสผ่าน" จากนั้นก็ไม่ทราบว่าอีเมลในบัญชีแทนที่ผู้บุกรุกหรือไม่
Alex.Edt ผู้ใช้ที่ได้รับผลกระทบสามารถกู้คืนลำดับเหตุการณ์ของเหตุการณ์:
- ผู้โจมตีในวันที่ 28 ธันวาคมเวลา 14.16 เรียกหมายเลขโทรศัพท์ที่มี ID ปลอม (ซ้ำตัวเลขในหมายเลขโทรศัพท์ของ Alex.edt) เพื่อรองรับ AVITO
- ที่ 14.17 เจ้าหน้าที่สนับสนุนด้านเทคนิค AVITO ตามกฎระเบียบที่ได้รับอนุมัติให้ตรวจสอบหมายเลขโทรศัพท์ของผู้โทรและระบุว่าเป็นเจ้าของบัญชี
- ผู้โจมตีขอให้เจ้าหน้าที่สนับสนุนด้านเทคนิคเปลี่ยนที่อยู่อีเมลไปยังอีก (พนักงานไม่ก่อให้เกิดความสงสัยแม้ว่าอีเมลจะไม่เปลี่ยนแปลงตั้งแต่ปี 2554 และการร้องขอการเปลี่ยนแปลงในวันที่นำเสนอที่ถูกกล่าวหาของพัสดุราคาแพงด้วย Avito-delivery):
- หลังจากการเปลี่ยนแปลงที่สำเร็จของ "AVITO" ส่งการแจ้งเตือนว่าที่อยู่อีเมลถูกแทนที่สำเร็จ สิ่งที่แปลกประหลาดที่สุดคือการแจ้งเตือนจะถูกส่งไปยังอีเมลใหม่เท่านั้นและไม่มีอะไรมาที่เก่า:
- เป็นผลให้ผู้โจมตี (ไม่ได้รับความช่วยเหลือจากพนักงานของเจ้าหน้าที่สนับสนุนด้านเทคนิค "Avito") มีทุกสิ่งที่คุณต้องการมีโอกาสตกแต่งเงิน
- ที่ 18.36 เหยื่อได้รับการแจ้งให้ทราบว่าพัสดุมาถึงการออกของผู้รับ ใน 19.20 แพคเกจรับผู้ซื้อ:
- ใน 19.32 ผู้โจมตีวางรหัสผ่านโดยใช้อีเมลที่แก้ไขก่อนหน้านี้และเข้าถึงบัญชีได้ง่าย:
- อินพุตโปรไฟล์ดำเนินการโดยใช้ VPN (ตำแหน่งทางภูมิศาสตร์ - บัลแกเรีย) เป็นไปได้มากที่สุด Avito ไม่ได้มีระบบการบริหารความเสี่ยงหรือไม่ทำงานตามที่ควร:
- ที่ 19.34 ผู้โจมตีลบหมายเลขโทรศัพท์ซึ่งเชื่อมโยงกับบัญชีเป็นเวลา 9 ปี การแจ้งเตือน SMS เกี่ยวกับการบาดเจ็บนี้ไม่ได้มา การเปลี่ยนยังทำทันที - ไม่มีโหมดสแตนด์บายในหลายชั่วโมง ฯลฯ
- ใน 19.51, Avito ปิดการทำธุรกรรมผู้หลอกลวงได้รับการอ้างอิงถึงการถอนเงินของกองทุน
- ใน 19.52 ผู้โจมตีใช้เวลา 119,000 รูเบิลจากการให้บริการ:
ผู้ใช้ที่ได้รับผลกระทบแสดงความคิดเห็นดังต่อไปนี้สิ่งที่เกิดขึ้น: "สิ่งที่มีผลต่อการมีอยู่มากที่สุดในการดำรงอยู่ของช่องโหว่ดังกล่าวแม้จะมีความจริงที่ว่าอินเทอร์เน็ตมีลูกกลิ้งจำนวนมากที่ผู้โจมตีสามารถโทรจากหมายเลขโทรศัพท์ปลอมและวิธีการบริการ AVITO หมายถึงปัญหานี้ การสนับสนุนด้านเทคนิค "Avito" ให้อิสระในการเข้าถึงบัญชีอย่างอิสระ แต่ตัวแทนบริการซ้ำ ๆ เพียงว่าจำเป็นต้องคิดค่าใช้จ่ายที่เชื่อถือได้มากขึ้นและบอกเรื่องไร้สาระมาตรฐานอื่นซึ่งไม่มีอะไรเกี่ยวข้องกับปัญหา
อันเป็นผลมาจากการอภิปรายตำแหน่งของบริการ AVITO ยังคงเหมือนเดิม - เราไม่ทราบว่าคุณถูกแฮ็กได้อย่างไร ควรเข้าใจว่าวิธีการที่อธิบายข้างต้นเป็นสิ่งที่เกี่ยวข้อง - แต่ละบัญชี "AVITO" สามารถแฮ็คด้วยแรงบิดต่อไป และเครื่องมือรักษาความปลอดภัยข้อมูลใด ๆ ที่ใช้ผู้ใช้จะไม่สามารถทนต่อช่องโหว่นี้ ":
วัสดุที่น่าสนใจมากขึ้นบน cisoclub.ru สมัครสมาชิกกับเรา: Facebook | vk | ทวิตเตอร์ | Instagram โทรเลข เซน | Messenger | ICQ ใหม่ | YouTube | ชีพจร.