Zakaždým, keď na to narazím, nikdy ma neprestane zaujímať, ako je možné, že veľká spoločnosť môže mať TAKÉTO bezpečnostné diery.
Všeobecne platí, že ak si myslíte, že pri predaji niečoho s dodávkou Avito nemôžu byť vaše peniaze odcudzené, ste na omyle.
Ukázalo sa to fenomenálne: Avito má možnosť telefonicky zmeniť svoju e-mailovú adresu. Všetko, čo musíte urobiť, je zavolať z prepojeného čísla a informovať vás, že chcete zmeniť svoj e-mail.
O technickej možnosti zmeny čísla pri telefonovaní som písal pred tromi rokmi (https://ammo1.livejournal.com/996419.html ). Po príbehu s Navaľným všetci vedeli o takejto príležitosti, až na Avitovu podporu.
Každý drobný podvodník môže použiť aplikáciu na spoofing telefónnych čísel a zmeniť e-mail vo vašom účte Avito. Po zmene e-mailu bude môcť zmeniť heslo pomocou funkcie obnovenia hesla. Zároveň sa na starý (skutočný) e-mail neposielajú žiadne oznámenia.
Pri odosielaní tovaru dodávkou Avito musí byť na štítku balíka uvedené telefónne číslo predávajúceho spojené s účtom Avito. Toto číslo vidí veľa ľudí, od príjemcu v mieste Boxberry alebo na ruskej pošte a končiaceho u každého, kto sa podieľa na doručení. V každej fáze stačí získať jednu fotografiu balíka, aby ste získali telefónne číslo. A potom je všetko jednoduché: okamžite zmenia e-mail, počkajú, kým si kupujúci zásielku vyzdvihne, okamžite zmenia heslo, prejdú na účet a vyberú peniaze na svoju kartu.
To, že sú ľudia prihlásení na svoj účet z inej krajiny, Avitovi vôbec neprekáža, ale takéto varovanie príde na e-mail niekoho iného.
Spoločnosť Avito sa vôbec netrápi, že ku všetkým manipuláciám s účtom dôjde v okamihu dodania Avita.
Pomocou tohto jednoduchého mechanizmu útočníci ukradli 119 000 rubľov iba za jednu dodávku, ale tento príbeh určite nie je jedinečný.
Poškodený vykonal vlastné vyšetrovanie a podrobne opísal celý príbeh tu .
Veľmi rád by som dúfal, že Avito bude tejto situácii venovať pozornosť a pri pokuse o zmenu e-mailu prostredníctvom telefónu pripojí aspoň upozornenie k starému e-mailu a túto akciu potvrdí prostredníctvom SMS.
A takisto bude správne, ak spoločnosť Avito uhradí všetky straty, ktoré utrpel v dôsledku bezpečnostného otvoru v dokumente „Avito-Delivery Safe Deal“.
© 2021, Alexey Nadyozhin
Desať rokov každý deň píšem o technológiách, zľavách, zaujímavostiach a udalostiach. Prečítajte si môj blog na webe ammo1.ru, v LJ, Zen, Mirtesen, Telegram .
Moje projekty:
Lamptest.ru. Testujem LED žiarovky a pomáham zistiť, ktoré sú dobré a ktoré nie sú také dobré.
Elerus.ru. Zhromažďujem informácie o domácich elektronických zariadeniach pre osobnú potrebu a zdieľam ich.
Môžete ma kontaktovať v telegrame @ ammo1 a poštou [email protected] .