Foydalanuvchilardan biri "Avito" avito-etkazib berish xizmati yordamida ularning texnologiyasini sotishda 119 ming rublni yo'qotdi. Jabrlanuvchini tergovini ko'rsatdi, bu xizmatni hech qanday avitoning hisobiga osongina kirishi mumkinligi sababli, xizmatning tanqidiy zaifligiga ega.
2020 yil oxirida "Avito" foydalanuvchisi Aleks.edt saytida 119 ming rubl uchun ranglarni tuzatish panellari to'plami. Xaridor AVITO-etkazib berish orqali amalga oshirilgan shartnomani berishni taklif qildi. Tovarlar qabul qiluvchining shahriga muvaffaqiyatli etkazib berildi, u posilkani olib, buyurtma uchun pul to'ladi.
Shu kuni kechqurun, jabrlanuvchi Avitoga kirishga harakat qildi, ammo u muvaffaqiyatga erishmadi - bu bunday login va AVITO-ga foydalanuvchi shunchaki mavjud emasligini xabar qildi. Kibernitave-da tanish mutaxassis bilan birgalikda tarmoq jurnallari, pochta jurnallari, IP manzillar, IP-manzillar, IP-manzillar, IP manzillar va SMSlar uchun loginlik operatorlari, shuningdek, xakerlik uchun ishora qila olmadilar.
"Avito" texnik qo'llab-quvvatlashi faqat keyingi kun hisobidan foydalanishni qayta tikladi va jabrlanuvchi to'liq telefon raqami hisob raqamiga bog'langanligini ko'rdi, bu esa tasdiqlanmadi.
Jabrlanuvchini olib borilayotgan tergov avito-etkazib berish xizmatining tanqidiy zaifligi aniqlandi, ulardagi hujumchilar biron bir hisobni osongina kirishlari mumkin.
AVITO xizmatining AVITO hisobvarag'ining telefon raqamini mustaqil ravishda shakllantirishi bilan bog'liq muammoning tavsifini boshlang. Natijada, posilka harakati natijasida logistika jarayonlarida ishtirok etgan paytda, logistika jarayonlarida ishtirok etadigan ko'plab odamlar to'plamni, uning qiymati, telefon raqamiga etkazib berish vaqtini belgilashga imkon beradigan maxfiy ma'lumotlar to'plamini oladilar. sotuvchidan:
Ammo ko'plab transport kompaniyalarida o'xshash amaliyotlar mavjud, shuning uchun uni odatiy deb hisoblash mumkin, ammo AVITO holatida emas. Muammo shundaki, AVITO-ni hisobga olinishi mumkin bo'lsa, AVITO-ning ovozli texnik yordam xizmati (8-800- va boshqalar), agar u hisobga qo'yilgan telefon raqamini chaqirsa. Profil bilan ovozli ovozli texnik yordam muvaffaqiyatli amalga oshirganingizdan so'ng, siz biron bir harakat qilishingiz, elektron pochta manzilini o'zgartirishingiz mumkin.
Potentsial jabrlanganlar uchun yana bir muammo shundaki, boshqa muammo shundaki, bunday usuldan foydalanib elektron pochta manzilining o'zgarishi "SUL MODE" da amalga oshiriladi - Eski elektron pochta manziliga kiritilmaydi. Shuning uchun, agar AVITO-da foydalanuvchi "Telefon raqami + parol" to'plamini qo'llasa, unda hisobdagi elektron pochtani buzuvchilarni almashtirganligini bilmaydi.
Ta'sirlangan foydalanuvchi Aleks.edt voqealar xronologiyasini tiklashga qodir edi:
- 28 dekabr kuni hujum qilganlar, AVITO-ni qo'llab-quvvatlash uchun telefon raqamini soxta identifikatsiya qilish (Aleks.edtning telefon raqamidagi raqamlarni takrorlash).
- Tasdiqlangan qoidalar bo'yicha AVITO texnik yordam xodimi, qo'ng'iroq qiluvchining telefon raqamini tekshirib, uni hisob egasi sifatida aniqladi.
- Tajovuzkor elektron pochta manzilini boshqasiga o'zgartirishini so'radi (xodim 2011 yildan beri elektron pochta xabarini o'zgartirmagan bo'lsa ham, smena so'rovi, qimmatbaho posilkaning narxi bilan almashtirildi Avito-etkazib berish):
- "Avito" ning muvaffaqiyatli o'zgarishi xabarni elektron pochta manzili muvaffaqiyatli almashtirilganligi to'g'risida xabar yuboradi. G'oyat g'alati narsa shundaki, bildirishnoma faqat yangi elektron pochtaga yuboriladi va eskisiga hech narsa kelmaydi:
- Natijada, tajovuzkorlar ("Avito" texnik yordamchi xodimlarining "AVITO" xodimlarining mehribon yordamisiz emas ") pulni bezashingiz kerak bo'lgan hamma narsani olishadi.
- 18.36 da jabrlanuvchi posilka qabul qiluvchining chiqarilishiga kelganligi haqida xabar oldi. 19.20 yilda paket xaridorni oldi:
- 19.32 yilda hujumchilar parolni oldindan belgilangan elektron pochta orqali tashlab yuborishadi va hisobga kirish imkoniyatini olishadi:
- Profil kiritish VPN (Bolgariya) yordamida amalga oshiriladi. Ehtimol, Avitoning umuman xavflarni boshqarish tizimiga ega emas yoki u quyidagicha ishlamaydi:
- 19.34 yilda hujumchilar 9 yil davomida hisobga bog'langan telefon raqamini olib tashlaydilar. Ushbu jarohat olgani haqida SMS-xabarlar kelmaydi. Shift, shuningdek, darhol - bir necha soat ichida kutish rejimisiz va boshqalarni amalga oshiriladi.
- 19.51 yilda Avito bitimni yopib qo'ydi, firibgarliklar mablag'larni olib qo'yish to'g'risida ma'lumot olishadi.
- 19.52 yilda firibgarlar xizmatdan 119 ming rublni olishadi:
Ta'sir qilingan foydalanuvchi sodir bo'lgan deb izoh berdi: "Bu zaiflikning yuz berishi mumkinligiga qaramay, bu Internetning soxta telefon raqamlaridan va Avito xizmatidan qanday qo'ng'iroq qilishi mumkinligiga qaramay, bunday zaiflik mavjudligi juda katta ta'sir qiladi bu muammoni anglatadi. "AVITO" texnik yordami Firibchchlar hisobvarag'iga kirish huquqini beradi, ammo xizmat vakillari ko'proq ishonchli parolni ixtiro qilishlari va muammo bilan hech qanday aloqasi yo'q edi.
Muhokama yakunlari natijasida AVITO XIZMATINING holati bir xil bo'lib qoldi - biz qanday qilib buzilganingizni bilmaymiz. Yuqorida tavsiflangan usul tegishli ekanligi haqida tushunish kerak - "AVITO" har birida momentni buzish mumkin. Va ishlatiladigan har qanday ma'lumot xavfsizligi vositalari, foydalanuvchilar ushbu zaiflikka qarshi tura olmaydi ":
Cisoklub.Ru saytida yanada qiziqarli material. Bizga obuna bo'ling: Facebook | Vk | Twitter | Instagram | Telegramma Zin | Elchi | ICQ yangi | YouTube | Puls.