"Avito" kullanıcılarından biri, teknolojilerini Avito-Teslimat hizmeti kullanarak satarken 119 bin ruble kaybetti. Kurbanın soruşturması, saldırganların herhangi bir Avito hesabına kolayca erişebilecekleri için, hizmetin kritik bir kırılganlığa sahip olduğunu göstermiştir.
2020'nin sonunda, "Avito" kullanıcısı Alex.edt sitede 119 bin ruble için bir dizi renk düzeltme panelini sattı. Alıcı bulundu ve yapılan Avito-Teslimat yoluyla bir anlaşma yapmayı teklif etti. Mallar alıcının şehrine başarıyla teslim edildi, parsel aldı ve sipariş için ödeme yaptı.
Aynı günün akşamı, kurban Avito'ya giriş yapmaya çalıştı, ancak başarılı olmadı - sistem, kullanıcının böyle bir giriş yaptığını, telefon numarasını ve AVito'ya e-postanın var olmadığını bildirdi. Siber Güvenlik'te tanıdık bir uzmanla birlikte Alex.edt, ağ günlüklerini, posta günlüklerini, IP adreslerini, yetki süresini, arama ve SMS için giriş operatörlerini de kontrol ettiler, ancak hacklemeye çalışmaya çalışan bir şey bulamadılar.
Teknik Destek "Avito", yalnızca ertesi gün hesaba erişimi geri kazandı ve mağdur, tamamen yabancı bir telefon numarasının, ayrıca, ayrıca, onaylanmadığını, hesaba bağlandığını gördü.
Mağdur tarafından yapılan soruşturma, saldırganların herhangi bir hesaba kolayca erişebileceği, Avito-Teslimat hizmetinin kritik kırılganlığının keşfedildiği gerçeğine yol açtı.
AVito hizmetinin bağımsız olarak, AVito hesabına bağlı olan satıcının telefon numarasını, parselde olanın adını, parselde olanın tam maliyetinin adını belirten Boxberry faturasını oluşturan bir açıklamayı başlatın. Bunun bir sonucu olarak, parselin hareketi sırasında, boxberry personeli ve lojistik süreçlerine katılan diğer birçok insan, teslimat süresini sorun noktasına, değerine, telefon numarasına ayarlamalarını sağlayan bir dizi gizli bilgi alır. Satıcının:
Ancak birçok ulaşım şirketinde de benzer uygulamalar var, bu yüzden her zamanki gibi düşünülebilir, ancak Avito durumunda değil. Sorun, AVito'nun, hesaba bağlı olan telefon numarasını çağırırsa, kullanıcının tanımlanabileceği bir sesli teknik destek hizmeti (8-800-800- vb.) Sahip olmasıdır. Bir profille sesli teknik desteğin başarılı bir şekilde yetkilendirilmesinden sonra, e-posta adresini değiştirmek de dahil olmak üzere herhangi bir işlem yapabilirsiniz.
Potansiyel mağdurlar için (Avito kullanıcıları), başka bir problem, bu tür bir yöntem kullanarak e-posta adresinin "Sessiz Mod" bölümünde gerçekleştirilmesidir - kullanıcının eski e-posta adresine bildirilmemesidir. Bu nedenle, Avito'daki yetkilendirme kullanıcısı bir "telefon numarası + şifresi" paketi uygularsa, o zaman hesaptaki e-postasının davetsiz misafirlerin değiştirildiğini bilmiyorsa.
Etkilenen kullanıcı Alex.edt, olayların kronolojisini geri yükleyebildi:
- 28 Aralık'taki saldırganlar 14.16'da, sahte kimliğe (Alex.edt telefon numarasındaki numaraları yinelenen numaraları) AVITO desteğine olan telefon numarasını aradı.
- 14.17'de, AVito Teknik Destek Görevlisi, onaylanmış düzenlemelerin ardından, arayanın telefon numarasını kontrol ettiğini ve bir hesap sahibi olarak tanımladılar.
- Saldırgan, Teknik Destek Görevlisinin e-posta adresini diğerine değiştirmesini istedi (çalışan, e-posta 2011'den bu yana değişmemiş olsa bile şüpheye neden olmadı ve bir vardiya talebi, pahalı parselin iddia ettiği günün ardından değiştirildi. Avito-Teslimat):
- "Avito" ın başarılı bir şekilde değiştikten sonra, e-posta adresinin başarıyla değiştirildiği bir bildirim gönderir. En garip şey, bildirimin yalnızca yeni e-postaya gönderilmesi ve hiçbir şeyin eskisine gelmemesidir:
- Sonuç olarak, saldırganlar (teknik destek görevlilerinin çalışanlarının türünün yardımı olmadan değil) "Avito") parayı süsleme fırsatına sahip olmalısınız.
- 18.36'da kurban, parselin alıcının ihracına geldiğine dikkat edildi. 19.20'de paket alıcıyı aldı:
- 19.32'de saldırganlar, daha önce değiştirilmiş e-postayı kullanarak şifreyi düşürür ve hesaba kolayca erişin:
- Profil girişi VPN (Geolocation - Bulgaristan) kullanılarak gerçekleştirilir. Büyük olasılıkla, Avito'nun hiç risk yönetimi sistemi yoktur veya olması gerektiği gibi çalışmaz:
- 19.34'te saldırganlar, 9 yıl boyunca hesaba bağlı olan telefon numarasını kaldırıyor. Bu yaralı hakkında SMS bildirimi gelmiyor. Vardiya derhal yapılır - birkaç saat içinde bekleme modu olmadan vb.
- 19.51'de Avito işlemi kapatır, dolandırıcılar fonların geri çekilmesine bir referans alır.
- 19.52'de, sahtekarlar hizmetten 119 bin ruble alır:
Etkilenen kullanıcı, olayları şu şekilde yorumladı: "En çok, internetin, saldırganların sahte telefon numaralarından arayabileceği çok sayıda silindire sahip olmasına rağmen, bu tür bir güvenlik açığının varlığının en muhtemelini etkiler. bu sorunu ifade eder. Teknik Destek "Avito" bağımsız olarak dolandırıcılıkları hesaba tam erişim sağladı, ancak servis temsilcileri sadece daha güvenilir bir şifreyi icat etmek için gerekli olduğunu ve sorunla ilgisi olmayan bir başka standart saçma olduğunu söyledi.
Tartışmanın bir sonucu olarak, Avito hizmetinin konumu aynı kaldı - nasıl hacklendiğini bilmiyoruz. Yukarıda açıklanan yöntemin ilgili - her hesap "avito" ın daha fazla torkla hacklenebileceği anlaşılmalıdır. Ve kullanılan herhangi bir bilgi güvenliği araçları, kullanıcılar bu güvenlik açığına dayanamayacaklar ":
Cisoclub.ru üzerinde daha ilginç malzeme. Bize abone olun: Facebook | Vk | Twitter | Instagram | Telgraf | Zen | Messenger | ICQ Yeni | Youtube | Nabız.