Всеки път, когато се натъкна на това, не преставам да се чудя как е възможно голяма компания да има ТАКИВА дупки в сигурността.
Като цяло, ако смятате, че продавайки нещо с доставка на Avito, парите ви не могат да бъдат откраднати, грешите.
Оказа се феноменално: Авито има възможността да променя имейл адреса си по телефона. Всичко, което трябва да направите, е да се обадите от свързания номер и да ви информирате, че искате да промените вашия имейл.
Писах за техническата възможност за промяна на номера при обаждане преди три години (https://ammo1.livejournal.com/996419.html ). След историята с Навални всички знаеха за такава възможност, с изключение на подкрепата на Авито.
Всеки дребен мошеник може да използва приложението за подправяне на телефонен номер и да промени имейла във вашия акаунт в Avito. И след като смени имейла, той ще може да промени паролата, използвайки функцията за възстановяване на паролата. В същото време на стария (реален) имейл не се изпращат известия.
Когато изпращате стоки чрез доставка на Avito, телефонният номер на продавача, свързан с акаунта на Avito, трябва да бъде посочен на етикета на колета. Този номер може да бъде видян от много хора, от приемника в пункта Boxberry или до руската поща и завършващ с всички, които участват в доставката. На всеки етап е достатъчно да направите една снимка на пакета, за да получите телефонен номер. И тогава всичко е просто: те незабавно сменят имейла, изчакват купувачът да вземе колета, веднага променят паролата, влизат в акаунта и теглят парите на картата си.
Фактът, че хората са влезли в акаунта си от друга държава, изобщо не притеснява Avito, но такова предупреждение идва на имейла на някой друг.
Avito също изобщо не се притеснява, че всички манипулации с акаунта се случват в момента, в който Avito е доставен.
Използвайки тази проста машина, нападателите откраднаха 119 000 рубли само за една доставка, но тази история със сигурност не е уникална.
Жертвата проведе собствено разследване и подробно описа цялата история тук .
Много бих искал да се надявам, че Avito ще обърне внимание на тази ситуация и поне ще добави известие към стария имейл, когато се опитва да смени имейла по телефона, и потвърди това действие чрез SMS.
И също така ще бъде правилно, ако Avito възстанови всички загуби, претърпени от дупката за сигурност в „Безопасна сделка на Avito-Delivery“.
© 2021, Алексей Надьожин
От десет години пиша всеки ден за технологии, отстъпки, интересни места и събития. Прочетете моя блог на сайта ammo1.ru, в LJ, Дзен, Миртесен, Телеграма .
Моите проекти:
Lamptest.ru. Тествам LED лампи и помагам да разбера кои са добри и кои не.
Elerus.ru. Събирам информация за битови електронни устройства за лична употреба и я споделям.
Можете да се свържете с мен в Telegram @ ammo1 и по пощата [email protected] .