Вскрылось как злоумышленники ворова..

Вскрылось как злоумышленники воровали деньги из личных кабинетов пользователей авито

Пользователь Avito обнаружил уязвимость в сервисе объявлений, которая позволяет мошенникам похищать деньги, выдавая себя за продавцов. Сервис идентифицировал злоумышленников как владельцев учётных записей из-за подмены номера телефона, после чего предоставлял им полный доступ к аккаунту. Из-за этого один из пользователей потерял 119 тысяч рублей.

vskrylos-kak-zloumyshlenniki-vorovali-dengi-iz-lichnykh-kabinetov-polzovatelei-avito_1.jpeg

Владимир Астапкович, РИА Новости

Продавец воспользовался доставкой Avito, чтобы продать комплект панелей цветокоррекции. Партнёром сервиса выступила компания Boxberry, которая выполнила курьерский заказ. После уведомления о доставке пользователь попытался войти в свою учётную запись, чтобы проверить деньги на счету, однако не смог этого сделать. После восстановления доступа он заметил, что данные аккаунта изменены, а денег на счету нет.

Причиной взлома стала слишком простая система идентификации. Оказалось, что злоумышленник получил доступ к аккаунту через поддержку Avito, позвонив со стороннего номера с поддельным ID, который повторял цифры изначального владельца. Идентифицировав его как владельца, сотрудник службы поддержки согласился сменить адрес электронной почты. Пострадавший предположил, что мошенник узнал номер из накладной Boxberry, где тот был напечатан.

vskrylos-kak-zloumyshlenniki-vorovali-dengi-iz-lichnykh-kabinetov-polzovatelei-avito_2.jpg

Pikabu

В разговоре с Коммерсантом представители Avito подтвердили, что мошенники могли выдать себя за владельца аккаунта, подменив номер телефона. В компании также заявили, что уже устранили проблему теперь сервис запрашивает дополнительные данные. Какие именно, не уточняется.

Руководитель подразделения Письма и посылки в Boxberry Екатерина Коновалова отметила, что в ближайшее время эту уязвимость тоже исключат в бумагах будет указываться только номер накладной. Она признала, что ряд сотрудников компании имеют доступ к данным, однако они подписывают обязательство о неразглашении сведений клиентов.

Технический директор Trend Micro в России и СНГ Михаил Кондрашин подчеркнул, что подписание обязательств не исключает возможного сговора сотрудников, имевших доступ к накладной, со злоумышленниками. Эксперт Лаборатории Касперского Сергей Голованов заявил, что утечка могла произойти на любом этапе работы, включающих продавца, площадку продажи, службу доставки и покупателя.

Видео

Мобильные устройства

globalnaia-prezentatciia-redmi-note-10-chetyre-modeli-nfc-i-tcennik-ot-200_1.jpg

Глобальная презентация redmi note 10 четыре м...

  • Мар 04, 2021
  • 389

Спустя несколькочасов послеиндийской презентации, компания Xiaomi провела глобальный анонс линейки Redmi Note 10.Что известноВ линейку вошли четыре ап...

Материнские платы

vse-materinskie-platy-msi-na-chipsete-intel-z490-poluchat-podderzhku-interfeisa-pcie-40_1.jpg

Все материнские платы msi на чипсете intel z4...

  • Мар 02, 2021
  • 516

Компания Micro-Star International (MSI) подтвердила, что все её материнские платы на базе чипсета Intel Z490 получат поддержку интерфейса PCIe 4.0 с п...

Наверх