How to become an author
Search
Write a publication
Pull to refresh

Обнаружена уязвимость сервиса объявлений Авито позволяющая получить доступ к профилям пользователей

Information Security*
Invite pending

Уязвимость в безопасности профилей пользователей созданная командой Авито стала возможна благодаря наличию множественных нарушений в логике работы системы уведомлений и подтверждения личности пользователей. На момент проведения расследования с использованием описанной ниже механики может быть взломан любой аккаунт Авито с последующей кражей средств с привязанных карт или вывода оплаты за Авито-доставку и ни какие рекомендации и внедренные средства цифровой безопасности на стороне пользователя не смогут этому противостоять. Я предпринял все доступные мне возможности донести до команды Авито информацию по наличию данной уязвимости, рассчитывая на признание ее существования и устранение с их стороны. Однако у меня создалось впечатление, что Авито не только не заинтересованно в проведении расследования, но и пытается скрыть причины взлома и как следствие отказывается признавать наличие уязвимости. Обращение к пользователям и профессиональному сообществу через этот пост является последней возможностью предупредить и повлиять на исправление ситуации.

Голосовая техническая поддержка Авито размещена на номере 8 800 600 00 01. При обращении на который для идентификации владельца аккаунта Авито, используется ID номер входящего звонка. Совпадение с номером привязанного к профилю является единственным критерием оценки подлинности владельца профиля. После такой "авторизации" по просьбе звонящего могут быть совершены любые значимые действия с профилем. В частности запрошена смена адреса электронной почты, через который в последствии можно произвести сброс пароля, также без необходимости дополнительной авторизации по средством СМС сообщения.

При этом все уведомления настроены таким образом, что смена электронной почты происходит без уведомления на прежний адрес или дублирующим СМС сообщением. Поэтому если при входе в аккаунт используется связка «номер телефона + пароль» пользователь до момента полной потери контроля даже может не подозревать о произведённых изменениях в его профиле.

28.12.2020 реализация указанной схемы позволила злоумышленникам произвести хищение средств с одного из профилей пользователя на сумму более 119 000 руб.

Восстановленные события

28.12.20 / 14:16 в службу технической поддержки Авито по номеру телефона 8 800 600 00 01 поступил звонок с номера телефона с поддельным ID  который повторял цифры в номере телефона привязанного к профилю пользователя. В качестве доказательства, что этот звонок не был совершён с использованием вредоносного ПО или клона SIM карты имеется выписка оператора связи за этот период времени.

28.12.20 / 14:17 оператор технической поддержки Авито следуя разработанному для таких ситуаций регламенту, проводит проверку номера телефона звонящего и вероятно не подозревая, что вступил в диалог с мошенником идентифицирует его как владельца аккаунта. После чего выполняет просьбу мошенника о смене адреса электронной почты на свой (последний раз адрес почты на этом аккаунте устанавливался при его создании - 9 лет тому назад, но риск никакой не сработал)

28.12.20 / 14:17 Авито отправило письмо на новый адрес электронной почты о том, что вами произведена смена почты. После смены почты на прежний адрес уведомления не приходят (есть скрин подтверждение этого факта службой технической поддержки)

28.12.20 / 18:36 Владелец профиля получает сообщение от службы доставки, что отправленный им неделей ранее заказ "Авито доставкой" прибыл в ПВЗ.

28.12.20 / 19:20 Посылка выдана

28.12.20 / 19:32 Не установленные лица ранее имеющие контакт с сотрудником службы технической поддержки (14:16) используют VPN (с текущей геолокацией в Болгарии) для входа на Avito.ru и производят сброс пароля с указанием новой почты. Тем самым получают полный доступ к профилю (система управления риском никак не реагирует на столь странное поведение пользователя).

28.12.20 / 19:34 Мошенники просто удаляют номер зарегистрированный на аккаунте более 9 лет и вписываю свой, что бы отрезать владельцу все возможности для оперативного восстановления доступа (безопасники Авито вышли хлопнув дверью)

28.12.21 / 19:51 Авито закрывает сделку и кидает в чат мошенникам ссылку на вывод денег.

28.12.21 / 19:52 Мошенники забирают у Авито деньги, Авито их поздравляет*
* - по завершению сделки в чат приходит поздравление от Авито

Тот факт, что Авито единолично предоставил мошенникам доступ к профилю, удалось выяснить исключительно волей случая, изучая ответы, мы наткнулись на соответствующую запись в истории обращений в голосовую техническую поддержку. До этого момента на вопросы о возможной причине взлома ответы были около: "нужно создавать более сложные пароли" и прочее. Даже после того как были получены все необходимые ответы и стала понятна схема взлома нам посоветовали сменить пароль на старую почту, что прямо указывает на не понимание и не желание признавать уязвимость включая поиск путей ее устранения.

Пока статья находилась на модерации силами сообщества Pikabu удалось привлечь внимание общественности и многочисленных СМИ, пресс-служба АВИТО отчиталась о устранении уязвимости, но у некоторых пользователей пока остаются сомнения. Буду благодарен если выскажутся люди имеющие возможность подтвердить сей факт.

Tags:
Hubs:
You can’t comment this publication because its author is not yet a full member of the community. You will be able to contact the author only after he or she has been invited by someone in the community. Until then, author’s username will be hidden by an alias.

Your account

Sections

Information

Services

Support
© 2006–2025, Habr