Một trong những người dùng "Avito" đã mất 119 nghìn rúp khi bán công nghệ sử dụng dịch vụ giao hàng Avito. Cuộc điều tra của nạn nhân cho thấy dịch vụ này có một lỗ hổng nghiêm trọng, do những kẻ tấn công có thể dễ dàng truy cập bất kỳ tài khoản Avito nào.
Vào cuối năm 2020, người dùng "Avito" Alex.edt đã bán trên trang web một tập hợp các bảng điều chỉnh màu cho 119 nghìn rúp. Người mua tìm thấy và đề nghị phát hành một thỏa thuận thông qua giao hàng Avito, đã được thực hiện. Các hàng hóa đã được giao thành công đến thành phố của người nhận, ông đã lấy bưu kiện và trả tiền cho đơn đặt hàng.
Vào buổi tối cùng ngày, nạn nhân đã cố gắng đăng nhập vào Avito, nhưng anh ta đã không thành công - hệ thống đã báo cáo rằng người dùng có đăng nhập như vậy, số điện thoại và email đến Avito đơn giản là không tồn tại. Cùng với một chuyên gia quen thuộc trong Alex.edt an ninh mạng, họ đã kiểm tra nhật ký mạng, nhật ký thư, địa chỉ IP, thời gian ủy quyền, người vận hành đăng nhập cho các cuộc gọi và SMS, cũng như nhiều hơn nữa, nhưng họ không thể tìm thấy bất cứ điều gì chỉ dẫn đến việc cố gắng hack.
Hỗ trợ kỹ thuật "Avito" được khôi phục truy cập vào tài khoản chỉ vào ngày hôm sau và nạn nhân thấy rằng một số điện thoại hoàn toàn ngoại lai được gắn vào tài khoản, hơn nữa, không được xác nhận.
Cuộc điều tra được thực hiện bởi nạn nhân đã dẫn đến thực tế là lỗ hổng quan trọng của dịch vụ giao hàng Avito đã được phát hiện, với những kẻ tấn công có thể dễ dàng truy cập bất kỳ tài khoản nào.
Bắt đầu một mô tả về vấn đề đứng với thực tế là dịch vụ Avito độc lập hóa đơn hóa đơn của Boxberry, cho biết số điện thoại của người bán gắn liền với tài khoản Avito, tên của những gì trong bưu kiện, cũng như toàn bộ chi phí. Kết quả của việc này, tại thời điểm chuyển động của bưu kiện, nhân viên Boxberry và nhiều người khác tham gia vào các quy trình hậu cần nhận được một bộ thông tin bí mật, cho phép họ đặt thời gian giao hàng đến điểm phát hành, giá trị của nó, số điện thoại của nó của người bán:
Nhưng có những thực tiễn tương tự trong nhiều công ty vận tải, vì vậy nó có thể được coi là bình thường, nhưng không phải trong trường hợp Avito. Vấn đề là Avito có dịch vụ hỗ trợ kỹ thuật thoại (số 8-800-, v.v.), nơi người dùng có thể được xác định nếu chỉ cần gọi số điện thoại được gắn vào tài khoản. Sau khi ủy quyền thành công trong hỗ trợ kỹ thuật thoại với hồ sơ, bạn có thể thực hiện bất kỳ hành động nào, bao gồm cả việc thay đổi địa chỉ email.
Đối với các nạn nhân tiềm năng (người dùng Avito), một vấn đề khác là sự thay đổi của địa chỉ email bằng cách sử dụng một phương thức như vậy được thực hiện trong "Chế độ yên tĩnh" - không có thông báo nào về người dùng đến địa chỉ email cũ sẽ không nhận được. Do đó, nếu người dùng ủy quyền trên Avito áp dụng gói "Số điện thoại + mật khẩu", thì nó không biết email của nó trong tài khoản đã thay thế những kẻ xâm nhập hay không.
Người dùng bị ảnh hưởng Alex.edt đã có thể khôi phục niên đại của các sự kiện:
- Những kẻ tấn công vào ngày 28 tháng 12 tại 14,16 được gọi là số điện thoại với ID giả (lặp lại số trong số điện thoại của Alex.edt) để hỗ trợ Avito.
- Tại 14,17, nhân viên hỗ trợ kỹ thuật Avito, tuân theo các quy định được phê duyệt, đã kiểm tra số điện thoại của người gọi và xác định nó dưới dạng chủ tài khoản.
- Kẻ tấn công đã yêu cầu nhân viên hỗ trợ kỹ thuật thay đổi địa chỉ email này sang địa chỉ email khác (nhân viên không gây ra sự nghi ngờ mặc dù email không thay đổi kể từ năm 2011 và yêu cầu thay đổi đã được thay thế vào ngày trình bày bị cáo buộc với bưu kiện đắt tiền với GIAO HÀNG AVITO):
- Sau khi thay đổi thành công "Avito" sẽ gửi thông báo rằng địa chỉ email được thay thế thành công. Điều kỳ lạ nhất là thông báo chỉ được gửi đến email mới và không có gì đến với cái cũ:
- Do đó, những kẻ tấn công (không phải không có sự trợ giúp của nhân viên của các nhân viên hỗ trợ kỹ thuật "Avito") có mọi thứ bạn cần để có cơ hội trang trí tiền.
- Ở tuổi 18.36, nạn nhân nhận được thông báo rằng bưu kiện đã đến phát hành của người nhận. Vào năm 19,20, gói hàng đã mang người mua:
- Vào năm 19.32, những kẻ tấn công thả mật khẩu bằng cách sử dụng email đã sửa đổi trước đó và dễ dàng truy cập vào tài khoản:
- Đầu vào hồ sơ được thực hiện bằng VPN (Geolocation - Bulgaria). Nhiều khả năng, Avito hoàn toàn không có hệ thống quản lý rủi ro, hoặc nó không hoạt động như nó phải:
- Ở 19,34, những kẻ tấn công loại bỏ số điện thoại, được gắn với tài khoản trong 9 năm. Thông báo SMS về người bị thương này không đến. Sự thay đổi cũng được thực hiện ngay lập tức - không có chế độ chờ trong vài giờ, v.v.
- Năm 19.51, Avito đóng cửa giao dịch, những kẻ lừa đảo nhận được một tài liệu tham khảo về việc rút tiền.
- Năm 19.52, những kẻ lừa đảo mất 119 nghìn rúp từ dịch vụ:
Người dùng bị ảnh hưởng nhận xét như sau xảy ra: "Nhiều ảnh hưởng nhiều nhất có khả năng tồn tại nhất trong một lỗ hổng như vậy, mặc dù thực tế là Internet có một số lượng lớn những con lăn kẻ tấn công có thể gọi từ số điện thoại giả và dịch vụ Avito như thế nào Đề cập đến vấn đề này. Hỗ trợ kỹ thuật "Avito" được cung cấp độc lập với những kẻ lừa đảo quyền truy cập đầy đủ vào tài khoản, nhưng các đại diện dịch vụ chỉ cần thiết để phát minh ra một mật khẩu đáng tin cậy hơn và nói với một tiêu chuẩn vô nghĩa khác, không liên quan gì đến vấn đề.
Do kết quả của cuộc thảo luận, vị trí của dịch vụ Avito vẫn giữ nguyên - chúng tôi không biết bạn đã bị hack như thế nào. Cần hiểu rằng phương pháp được mô tả ở trên là có liên quan - mỗi tài khoản "Avito" có thể bị hack với mô-men xoắn thêm. Và bất kỳ công cụ bảo mật thông tin nào được sử dụng, người dùng sẽ không thể chịu được lỗ hổng này ":
Tài liệu thú vị hơn trên Cisoclub.ru. Theo dõi chúng tôi: Facebook | Vk |. Twitter |. Instagram |. Telegram |. Zen |. Messenger |. ICQ mới |. YouTube |. Xung.