Один из пользователей «Авито» потерял 119 тыс. рублей при продаже своей техники с использованием сервиса «Авито-Доставка». Расследование пострадавшего показало, что сервис имеет критическую уязвимость, из-за которой злоумышленники могут без труда получить доступ к любому аккаунту «Авито».
В конце 2020 года пользователь «Авито» Alex.edt продавал на площадке комплект панелей цветокоррекции за 119 тыс. рублей. Покупатель нашелся и предложил оформить сделку через «Авито-доставку», что и было сделано. Товар был успешно доставлен в город получателя, то забрал посылку и оплатил заказ.
Вечером того же дня пострадавший попытался авторизоваться в «Авито», но у него ничего не получилось – система сообщала, что пользователя с таким логином, номером телефона и электронной почтой на «Авито» просто не существует. Вместе со знакомым специалистом по кибербезопасности Alex.edt проверили сетевые логи, логи почты, IP-адреса, время авторизаций, логи операторы связи по звонкам и СМС, а также многое другое, но они не смогли найти ничего, указывающего на попытку взлома.
Техподдержка «Авито» восстановила доступ к учетной записи только на следующий день и пострадавший увидел, что к аккаунту привязан совершенно посторонний номер телефона, который, к тому же, не был подтвержден.
Проведенное пострадавшим расследование привело к тому, что была обнаружена критическая уязвимость сервиса «Авито-Доставка», с помощью которой злоумышленники могут без труда получить доступ к любому аккаунту.
Начать описание проблемы стоит с того, что сервис «Авито» самостоятельно формирует накладную Boxberry, в которой указывается привязанный к аккаунту «Авито» телефонный номер продавца, трек-номер, название того, что находится в посылке, а также полная стоимость. В результате этого в момент движения посылки сотрудники Boxberry и многие другие люди, участвующие в логистических процессах, получают набор конфиденциальной информации, что позволяет им установить время доставки посылки в пункт выдачи, ее ценность, телефонный номер продавца:
Но подобная практика есть у многих транспортных компаний, поэтому ее можно считать обычной, но не в случае с «Авито». Проблема состоит в том, что Avito имеет сервис голосовой техподдержки (номер 8-800- и т. д.), на котором пользователь может идентифицироваться, если просто позвонит с телефонного номера, который привязан к аккаунту. После успешной авторизации в голосовой техподдержке с профилем можно совершать любые действия, в том числе и менять электронный адрес.
Для потенциальных жертв (пользователей «Авито») еще одна проблема состоит в том, что смена электронного адреса аккаунта с помощью такого способа выполняется в «тихом режиме» – никаких уведомлений пользователь на старый адрес email не получит. Поэтому, если пользователь для авторизации на «Авито» применяет связку «телефонный номер + пароль», то он и не узнает, если его электронную почту в аккаунте сменили злоумышленники.
Пострадавший пользователь Alex.edt смог восстановить хронологию событий:
- Злоумышленники 28 декабря в 14.16 позвонили с номера телефона с поддельным ID (повторяющим цифры в телефонном номере пользователя Alex.edt) в службу поддержки «Авито».
- В 14.17 сотрудник техподдержки «Авито», следуя утвержденному регламенту, проверил телефонный номер звонящего и идентифицировал его как владельца учетной записи.
- Злоумышленник попросил сотрудника техподдержки поменять адрес электронной почты на другой (у сотрудника подобное не вызвало подозрений даже несмотря на то, что email пострадавшего не менялся с 2011 года, а запрос на смену поступил в день предполагаемого вручения дорогой посылки с «Авито-Доставка»):
- После успешной смены «Авито» отправляет уведомление о том, что электронный адрес успешно сменен. Самое странное, что уведомление отправляется только на новый email, а на старый ничего не приходит:
- В результате злоумышленники (не без любезной помощи сотрудников техподдержки «Авито») получили всё необходимое, чтобы была возможность украсить деньги.
- В 18.36 пострадавший получил уведомление о том, что посылка пришла в пункт выдачи получателя. В 19.20 посылку покупатель забрал:
- В 19.32 злоумышленники сбрасывают пароль с помощью измененной ранее электронной почты и получают простой доступ к аккаунту:
- Вход в профиль осуществляется с использованием VPN (геолокация – Болгария). Скорее всего, что «Авито» вовсе не имеет системы управления рисками, либо она работает не так, как надо:
- В 19.34 злоумышленники убирают телефонный номер, который был привязан к аккаунту в течение 9 лет. СМС-уведомление об этом пострадавшему не приходит. Смена также производится сразу – без режима ожидания в несколько часов и т. п.
- В 19.51 «Авито» закрывает сделку, мошенники получают ссылку на вывод средств.
- В 19.52 мошенники забирают 119 тыс. рублей с сервиса:
Пострадавший пользователь следующим образом прокомментировал случившееся: «Больше всего поражает даже не факт существования подобной уязвимости, несмотря на то что в интернете огромное количество роликов о том, что злоумышленники могут звонить с поддельных телефонных номеров, а то, как сервис «Авито» относится к этой проблеме. Техподдержка «Авито» самостоятельно предоставила мошенникам полный доступ к аккаунту, но представители сервиса повторяли лишь о том, что надо было придумывать более надежный пароль и рассказывали другую стандартную ерунду, которая не имеет никакого отношения к проблеме.
В результате обсуждения позиция сервиса «Авито» осталась прежней – мы не знаем, как вас взломали. Надо понимать, что описанный выше способ взлома актуален – каждая учетная запись «Авито» может быть взломана с дальнейшей кражей денежных средств. И любые средства информационной безопасности, используемые пользователей, не смогут противостоять этой уязвимости":
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
