Огромная дыра в Avito — любой аккаунт ничего не стоит взломать

Каждый раз, натыкаясь на такое, я не перестаю удивляться, как это возможно, что у большой компании могут быть ТАКИЕ дыры в безопасности.

В общем, если вы думаете, что продавая что-то с доставкой Авито, ваши деньги не могут украсть, вы ошибаетесь.


Выяснилось феноменальное: у Авито есть возможность изменения адреса электронной почту по телефону. Всё, что для этого нужно, позвонить с привязанного номера и сообщить, что хотите изменить E-mail.

О технической возможности подмены номера при звонке я писал ещё три года назад (https://ammo1.livejournal.com/996419.html). После истории с Навальным о такой возможности узнали все, кроме поддержки Авито.

Любой мелкий жулик может воспользоваться приложением для подмены номера и изменить E-mail в вашем аккаунте Avito. А изменив Email, он сможет изменить и пароль, воспользовавшись функцией восстановления пароля. При этом на старый (настоящий) Email никакие уведомления не приходят.

При отправке товара доставкой Avito, на этикетке посылки обязательно указывается номер телефона продавца, привязанный к аккаунту Avito. Этот номер может видеть множество людей, начиная от приёмщика в пункте Boxberry или в отделении Почты России и заканчивая всеми, кто участвует в доставке. На любом этапе достаточно сделать одну фотографию посылки, чтобы заполучить номер телефона. А дальше всё просто: e-mail меняют сразу, дожидаются, когда покупатель забирает посылку, тут же меняют пароль, заходят в аккаунт и выводят деньги на свою карту.

То, что в аккаунт заходят из другой страны, Avito совершенно не смущает, а вот такое предупреждение приходит уже на чужой email.

Авито также совершенно не смущает, что все манипуляции с аккаунтом происходят в тот момент, когда осуществляется доставка Авито.

Пользуясь этой нехитрой махинацией, злоумышленники украли 119 000 рублей только за одну доставку, но наверняка такая история не единична.

Пострадавший, провёл своё расследование и подробно описал всю историю тут.

Очень хочется надеяться, что Авито обратит внимание на эту ситуацию и как минимум добавит оповещение на старый Email при попытке сменить e-mail по телефону, и подтверждение этого действия по СМС.

А ещё будет правильно, если Авито возместит все потери пострадавшим от дыры в безопасности «Безопасной сделки Авито-доставка».

© 2021, Алексей Надёжин


Десять лет я каждый день пишу о технике, скидках, интересных местах и событиях. Читайте мой блог на сайте ammo1.ru, в ЖЖ, Дзен, МирТесен, Telegram.
Мои проекты:
Lamptest.ru. Тестирую светодиодные лампы и помогаю разобраться, какие из них хорошие, а какие не очень.
Elerus.ru. Собираю информацию об отечественных электронных устройствах для личного использования и делюсь ей.
Вы можете связаться со мной в Телеграм @ammo1 и по почте ammo1@mail.ru.

Этот пост в моём блоге LiveJournal: Огромная дыра в Avito — любой аккаунт ничего не стоит взломать

Добавить комментарий