В сервисе «Авито» обнаружена новая уязвимость, пишет «Коммерсант». Используя технологию подмены номера телефона, мошенники могли получить доступ к аккаунту пользователя при продаже товаров через «Авито Доставку» и вывести деньги. Проблему в системе идентификации клиентов сервиса обнаружил пользователь Pikabu. Он продал на «Авито» товар за 119 тыс. рублей, его передали Boxberry, а когда покупатель получил купленное, на счет продавца должна была поступить оплата. Но в этот момент аккаунт взломали, после восстановления доступа оказалось, что все данные сменены, а денег на счету уже нет. По версии пострадавшего, взлом произошел из-за того, что в накладной Boxberry был указан его номер телефона.
Для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю «Авито», в службу поддержки компании. Мошенник, обладающий данными из накладной, мог позвонить в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту, полагает пострадавший.
Подделывая номера, злоумышленники могут выдать себя за клиента при обращении в службу поддержки, подтвердили в «Авито». Там сообщили, что уже решили проблему, поменяв правила для операторов. Теперь при обращениях клиентов по телефону они запрашивают дополнительные данные.
В I и II кварталах было зафиксировано более 360 тыс. несанкционированных операций.
29.10.2020 17:45Как именно мошенники получили номер, доподлинно неизвестно — информация в накладной посылки видна отправителю и получателю, покупатель знает номер отправления и номер телефона продавца, сообщили в Boxberry. Компания уже работает над устранением уязвимости, в ближайшее время покупатель будет получать только номер накладной. Доступ к данным о посылках есть у некоторых сотрудников Boxberry, но они несут материальную ответственность и подписывают обязательство о неразглашении персональных данных клиентов и коммерческой тайны, отметили в Boxberry.
По мнению экспертов, это не защищает от злоупотреблений. Сотрудники Boxberry, имеющие доступ к накладной, могли вступить в сговор со злоумышленниками, знающими об уязвимости «Авито». Об отправке посылки на крупную сумму знали покупатель, продавец, площадка продажи и сервис доставки. Утечка могла произойти на любом этапе, считают эксперты. Также проблема может быть в том, что «Авито» идентифицирует пользователей по звонку в службу поддержки. В доработке нуждается регламент смены данных в аккаунте клиента, полагают эксперты.
Комментарии
С какой стати? Деньги должен заплатить покупатель продавцу.
Хотя есть подозрение, что признали не всё: взлом аккаунта сразу же после крупной (ну, для Авито) сделки наводит на мысль о активном участии сотрудников. Сама по себе дыра в процедуре авторизации здесь ничего не объясняет.