Valahányszor találkozom ezzel, soha nem csodálkozom azon, hogyan lehetséges, hogy egy nagy cégnek ilyen biztonsági rései lehetnek.
Általánosságban elmondható, hogy ha úgy gondolja, hogy valamit Avito kiszállítással értékesít, akkor a pénzét nem lehet ellopni, téved.
Fenomenális lett: Avito képes telefonon megváltoztatni e-mail címét. Csak annyit kell tennie, hogy felhívja a linkelt számot, és tájékoztatja Önt, hogy módosítani kívánja az e-mail címét.
Három évvel ezelőtt írtam a szám megváltoztatásának technikai lehetőségéről, amikor hívást indítottam (https://ammo1.livejournal.com/996419.html ). A Navalnyval folytatott történet után mindenki tudott egy ilyen lehetőségről, kivéve Avito támogatását.
Bármilyen csaló használhatja a telefonszám-hamisító alkalmazást, és megváltoztathatja az e-mailt az Avito-fiókjában. És miután megváltoztatta az e-mailt, képes lesz megváltoztatni a jelszót a jelszó-helyreállítási funkcióval. Ugyanakkor a régi (valódi) e-mailre nem küldünk értesítést.
Amikor árukat küld Avito kézbesítéssel, a csomag címkéjén fel kell tüntetni az eladó Avito számlához rendelt telefonszámát. Ezt a számot sokan láthatják, a Boxberry pont vevőjétől vagy az Orosz Postánál, és véget érhet mindenki, aki részt vesz a kézbesítésben. Bármely szakaszban elegendő egy fényképet készíteni a csomagról, hogy telefonszámot kapjon. És akkor minden egyszerű: azonnal megváltoztatják az e-mailt, megvárják, amíg a vevő átveszi a csomagot, azonnal megváltoztatják a jelszót, bemennek a számlára, és felveszik a pénzt a kártyájukra.
Az a tény, hogy az embereket egy másik országból jelentkezik be a fiókjukba, egyáltalán nem zavarja Avitót, de valaki más e-mailjében ilyen figyelmeztetés érkezik.
Az Avito egyáltalán nem zavarja, hogy az összes manipuláció a számlával abban a pillanatban történik, amikor az Avito-t kézbesítik.
Ezzel az egyszerű machinációval a támadók 119 000 rubelt loptak el egyetlen szállításért, de ez a történet természetesen nem egyedi.
Az áldozat elvégezte saját nyomozását, és részletesen leírta az egész történetet itt .
Nagyon szeretném remélni, hogy az Avito figyelni fog erre a helyzetre, és legalább értesítést ad a régi e-mailhez, amikor megpróbálja telefonon megváltoztatni az e-mailt, és ezt a műveletet SMS-ben megerősíti.
És az is helyes lesz, ha az Avito megtéríti az "Avito-Delivery Safe Deal" biztonsági résében elszenvedett összes veszteséget.
© 2021, Alexey Nadyozhin
Tíz éve minden nap írok a technológiáról, a kedvezményekről, a nevezetességekről és az eseményekről. Olvassa el a blogomat az oldalon ammo1.ru, ban ben LJ, zen, Mirtesen, Távirat .
Projektjeim:
Lamptest.ru. Tesztelem a LED-es lámpákat, és segítek kitalálni, hogy melyik jó és melyik nem.
Elerus.ru. Információkat gyűjtök a háztartási elektronikus eszközökről, személyes használatra, és megosztom azokat.
A táviratban felveheti a kapcsolatot velem @ ammo1 és postán [email protected] .