Почему любой аккаунт Avito ничего не стоит взломать

© ammo1.livejournal.com

© ammo1.livejournal.com

Каждый раз, натыкаясь на такое, я не перестаю удивляться, как это возможно, что у большой компании могут быть такие дыры в безопасности. В общем, если вы думаете, что, когда вы продаете что-то с доставкой «Авито», ваши деньги не могут украсть, вы ошибаетесь.


Выяснилось феноменальное: у «Авито» есть возможность изменения адреса электронной почты по телефону. Всё, что для этого нужно, — позвонить с привязанного номера и сообщить, что хотите изменить e-mail.


О технической возможности подмены номера при звонке я писал ещё три года назад. После истории с Навальным о такой возможности узнали все, кроме поддержки «Авито».


© ammo1.livejournal.com

Любой мелкий жулик может воспользоваться приложением для подмены номера и изменить e-mail в вашем аккаунте Avito. А изменив e-mail, он сможет изменить и пароль, воспользовавшись функцией восстановления пароля. При этом на старый (настоящий) e-mail никакие уведомления не приходят.


© ammo1.livejournal.com

При отправке товара доставкой Avito на этикетке посылки обязательно указывается номер телефона продавца, привязанный к аккаунту Avito. Этот номер может видеть множество людей, начиная от приёмщика в пункте Boxberry или в отделении Почты России и заканчивая всеми, кто участвует в доставке. На любом этапе достаточно сделать одну фотографию посылки, чтобы заполучить номер телефона. А дальше всё просто: e-mail меняют сразу, дожидаются, когда покупатель заберет посылку, тут же меняют пароль, заходят в аккаунт и выводят деньги на свою карту.


То, что в аккаунт заходят из другой страны, Avito совершенно не смущает, а вот такое предупреждение приходит уже на чужой e-mail.


© ammo1.livejournal.com

Сервис также совершенно не смущает, что все манипуляции с аккаунтом происходят в тот момент, когда осуществляется доставка «Авито».


Пользуясь этой нехитрой махинацией, злоумышленники украли 119 тысяч рублей только за одну доставку, но наверняка такая история не единична.


Пострадавший провёл своё расследование и подробно описал всю историю тут.


Очень хочется надеяться, что «Авито» обратит внимание на эту ситуацию и как минимум добавит оповещение на старый e-mail при попытке сменить адрес по телефону и подтверждение этого действия по СМС.


А ещё будет правильно, если «Авито» возместит все потери пострадавшим от дыры в безопасности «безопасной сделки „Авито“-доставка».


Нам важно ваше мнение!

+0

Комментарии (0)