Уязвимость «Авито» позволяла похищать деньги клиентов по звонку
Пользователь Pikabu обнаружил проблему в системе идентификации клиентов «Авито», позволявшую злоумышленникам получать доступ к аккаунтам пользователей и выводить денежные средства за товары, которые проданы через сервис «Авито Доставка, пишет «Коммерсант».
Отмечается, что в декабре 2020 года пользователь продал на «Авито» товар за 119 тысяч рублей, после чего он был передан Boxberry. Когда товар был получен покупателем, на счет продавца должна была поступить оплата. Однако в этот момент аккаунт был взломан. После того как доступ был восстановлен, выяснилось, что данные были сменены, а средств на счету уже не было.
Православный храм выставили на Avito
Взлом произошел из-за указанного номера телефона в накладной Boxberry, считает пострадавший. Для идентификации владельца аккаунта достаточно было звонка с номера, который привязан к профилю «Авито», в службу поддержки компании. По мнению пользователя Pikabu, злоумышленник, имея данные из накладной, мог позвонить в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту.
В «Авито» утверждают, что решили проблему. Теперь сервис запрашивает дополнительные данные для идентификации клиентов.
Руководитель направления «Письма и посылки» Boxberry Екатерина Коновалова заявила в беседе с «Коммерсантом», что информация в накладной посылки видна отправителю и получателю. Однако «в ближайшее время покупатель будет получать только номер накладной».
Дыра в системе может быть причиной данной проблемы, считает глава отдела информационной безопасности «СерчИнформ» Алексей Дрозд. Но основная проблема, как считает он, заключается в том, что «Авито» идентифицирует пользователей по звонку в службу поддержки. В доработке нуждается регламент смены данных в аккаунте клиента, говорит он.
Эксперты опасаются того, что с такой проблемой могут столкнуться и другие сервисы, использующие для идентификации лишь номер телефона клиента.
Ранее «Рамблер» сообщал, что в Telegram появился бот, позволяющий подменять номера исходящих вызовов и изменять голос. Это упростило работу мошенникам.