Новости Деньги клиентов «Авито» исчезали по звонку

Работать исключительно через ГАРАНТ.
TRUST

TRUST

Опытный
ЗАБАНЕН
Старожил
Регистрация
10/6/17
Сообщения
1.110
Репутация
5.078
Реакции
5.307
RUB
0
Сделок через гаранта
3
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
В сервисе «Авито» обнаружена новая уязвимость. Используя технологию подмены номера телефона, мошенники могли получить доступ к аккаунту пользователя при продаже товаров через «Авито Доставку» и вывести деньги. В компании утверждают, что уже запрашивают для идентификации клиентов дополнительные данные. Но с такой проблемой могут столкнуться и другие сервисы, которые используют для идентификации только номер телефона клиента, предупреждают эксперты, отмечая необходимость внедрения более продвинутых технологий.

1612944309500.png



Проблему в системе идентификации клиентов «Авито», которая позволяла мошенникам получать доступ к аккаунтам пользователей и выводить деньги за товары, проданные через сервис «Авито Доставка», обнаружил пользователь Pikabu.


В декабре 2020 года он продал на «Авито» товар за 119 тыс. руб. Товар передали Boxberry, а когда покупатель получил его, на счет продавца должна была поступить оплата. Но в этот момент аккаунт взломали. После восстановления доступа оказалось, что все данные сменены, а денег на счету уже нет.


По версии пострадавшего, взлом произошел из-за того, что в накладной Boxberry был указан его номер телефона.
Дело в том, что для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю «Авито», в службу поддержки компании. Получается, что мошенник, обладающий данными из накладной, мог позвонить в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту, полагает пользователь Pikabu.


Подделывая номера, злоумышленники могут выдать себя за клиента при обращении в службу поддержки, подтвердили “Ъ” в «Авито». Там заверили, что уже решили проблему, поменяв правила для операторов. Теперь при обращениях клиентов по телефону они запрашивают дополнительные данные.


Как именно мошенники получили номер, доподлинно неизвестно. Информация в накладной посылки видна отправителю и получателю, покупатель знает номер отправления и номер телефона продавца, поясняет руководитель направления «Письма и посылки» Boxberry Екатерина Коновалова. Но, по ее словам, компания уже работает над устранением уязвимости — «в ближайшее время покупатель будет получать только номер накладной».


Госпожа Коновалова признает, что доступ к данным о посылках есть и у «некоторых сотрудников Boxberry». Однако, подчеркивает топ-менеджер, они несут материальную ответственность и подписывают обязательство о неразглашении персональных данных клиентов и коммерческой тайны.
Эксперты, впрочем, подчеркивают, что это не защищает от злоупотреблений. Сотрудники Boxberry, имеющие доступ к накладной, могли вступить в сговор со злоумышленниками, знающими об уязвимости «Авито», полагает технический директор Trend Micro в России и СНГ Михаил Кондрашин. Об отправке посылки на крупную сумму знали покупатель, продавец, площадка продажи и сервис доставки, уточняет ведущий эксперт «Лаборатории Касперского» Сергей Голованов. По его мнению, утечка могла произойти на любом этапе.


Проблема может быть и из-за дыры в системе, полагает глава отдела информационной безопасности «СерчИнформ» Алексей Дрозд. Но корень проблемы, по его мнению, лежит в том, что «Авито» идентифицирует пользователей по звонку в службу поддержки. В доработке нуждается регламент смены данных в аккаунте клиента, полагает он.


Число мошенничеств с использованием подмены номера продолжает расти. В июне 2020 года на это, например, жаловались клиенты МТС-банка, сообщал РБК. По данным ЦБ, 80% злоумышленников, звонящих якобы от лица финансовых организаций, используют подмену номеров. И применять технологию становится все проще. Например, в мессенджере Telegram появился бот, который позволяет подменять номера исходящих вызовов и изменять голос ( ).


Практически во всех российских сервисах номер мобильного телефона выступает основным средством идентификации пользователя, отмечает гендиректор Национальной инжиниринговой корпорации Игорь Бедеров.
По словам эксперта, подделав номер телефона человека, можно получить доступ к его электронной почте, социальным сетям, платежным системам и даже детализации его переговоров и перемещений. Крупные западные IT-компании, подчеркивает господин Бедеров, давно используют более надежные методы идентификации: по устройству или электронной генерации кода.
 
Сверху Снизу