Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
С чего все началось
Началась это история за считанные дни до гонца года на фоне предпраздничной суеты и желания по старой традиции закончить все дела до наступления нового года. В это время ко мне на Авито обратился покупатель, желающий приобрести комплект панелей цветокоррекции и просил оформить сделку через Авито-доставку.
Стоит сказать, что вероятно как и у многих, у меня уже был ранее опыт как покупки, так и продажи через Авито-доставку и в целом сам сервис мне казался относительно рабочим вариантом для безопасного совершения сделки. Хотя теперь я осознаю, что прибегая к услугам Авито-доставки не раз рисковал и лишь простая удача оберегала меня в прошлом. К слову, панели продавались уже довольно давно и из-за падения объемов производства кино большим вниманием не пользовались. К тому же я видел в этой сделке возможность закрыть некоторые долги до НГ, поэтому согласился.
На следующий день заказ был передан партнеру Авито в пункт курьерской службы Boxberry. 28 декабря в 17:02 (Авито отразил это извещение с задержкой) панели успешно были доставлены в пункт выдачи в городе покупателя, о чем я тут же поспешил сообщить продавцу отправив сообщение с телефона через приложение Авито.
В этот момент таймер уже был уже запущен и созданная командой Авито «бомба» была готова нанести свой разрушительный удар по моим планам, но как будет ясно в разборе ситуации, я никаким образом не мог этого знать. 19:20 покупатель забирает посылку о чем я получаю сообщение от службы BoxBerry. Обычно Авито требуется какое-то время для синхронизации, обработки события и отправки в чат соответствующего сообщения, обычно это около 30-45 минут.
В этот день приехав домой около половины девятого, я первым делом решил написать покупателю, поздравить его с покупкой и дать несколько советов по работе и конечно же получить оплату. Но войти в свой аккаунт я не смог.
Логин и пароль не подходили, я сразу даже не понял, что произошло, предположил, что мог, что то напутать. И это не мудрено с паролями вида gljk8+sdDfc-dHj52!d, решил его сбросить, но оказалось, что пользователь с моим номером телефона и электронной почтой больше в системе не существует. В этот момент меня наполнили страх и отчаяние, с одной стороны я понимал, что это вряд ли простое совпадение и уже не увижу 119 000 на которые так рассчитывал, а с другой, что если кому то удалось получить доступ к моей почте или телефону то могли быть скомпрометированы рабочие документы. Я тут же позвонил знакомому специалисту по информационной безопасности и мы стали проверять все что было возможно. Сетевые логи, логи почты, полученных, удаленных, перемещенных, переадресованных сообщений, IP адреса и время входов, логи оператора связи по звонкам и СМС и многое другое. И мы не нашли ничего, что могло указывать даже на попытку взлома.
На следующий день техническая поддержка Авито восстановила доступ к аккаунту и к этому моменту на нем уже был чужой номер телефона который даже не был подтверждён. И вот тут страх сменился на полное не понимание произошедшего. Я задавался вопросом: «Как в условиях полного отсутствия у мошенников доступа к моим устройствам, включая всевозможные клоны SIM карт они смогли так просто получить доступ к моему профилю Авито?».
Поиск ответов
За все время пока я пытался отыскать ответ на этот вопрос, я многократно обращался в Авито. Раз за разом проходя круги уровней технической поддержки, которые мало чем отличались и в подавляющем большинстве случаев сталкиваясь с полным не пониманием и не желанием разобраться в ситуации. Забегая вперед скажу, что уязвимость в безопасности профилей пользователей сознанная командой Авито стала возможна благодаря наличию множественных нарушений в логике работы системы уведомлений и подтверждения личности пользователей. На момент проведения расследования с использованием описанной ниже механики может быть взломан любой аккаунт Авито с последующей кражей средств с привязанных карт или вывода оплаты за Авито-доставку и ни какие рекомендации и внедренные средства цифровой безопасности на стороне пользователя не смогут этому противостоять. Я предпринял все доступные мне возможности донести до команды Авито информацию по наличию данной уязвимости, рассчитывая на признание ее существования и устранение с их стороны. Однако у меня создалось впечатление, что Авито не только не заинтересованно в проведении расследования, но и пытается скрыть причины взлома и как следствие отказывается признавать наличие уязвимости. Обращение к пользователям и профессиональному сообществу через этот пост является последней возможностью предупредить и повлиять на исправление ситуации.
Упустим детали оформления заказа по Авито-доставка, они вероятно многим известны и не стоит раздувать и так объемное повествование, остановимся лишь на том, что Авито самостоятельно формирует накладную BoxBerry, где указывает номер телефона привязанный к профилю (1), трек номер (2), наименование вложения и стоимость (3). Таким образом пока посылка в пути любой сотрудник BoxBerry (вероятно это десятки людей) имеет достаточно информации, что бы точно определить время доставки посылки в пункт выдачи, ценность содержимого и ему известен номер телефона отправителя.
И в принципе, для транспортной накладной указание этих сведений это обычная практика, если бы не одно "но". Все дело в том, что у Авито есть голосовая техническая поддержка на номере (8-800) и для идентификации владельца аккаунта Авито достаточно, что бы звонок поступил с номера привязанного к профилю. Точнее с ID телефонного номера, думаю вы уже догадались о чем идет речь. После такой авторизации вы можете совершать любые значимые действия с профилем в частности запросить смену адреса электронной почты.
Но это только половина проблемы, а вторая половина - то что смена электронной почты происходит в так называемом «тихом режиме», без уведомлений на прежний адрес. Поэтому если вы к примеру используете вход в свой аккаунт по связке «номер телефона + пароль» вы до определённого момента даже не будете знать о том, что происходит.
Вам кажется это не возможным? Тогда читайте дальше, все пруфы выложены ниже.
Вот теперь когда пазл сложился и сомнений не осталось можно представить полную хронологию произошедшего:
Как все было
28.12.20 / 14:16 в службу технической поддержки Авито по номеру телефона 8 800 600 00 01 поступил звонок с номера телефона с поддельным ID который повторял цифры в номере телефона привязанного к моему профилю.
В качестве доказательства, что этот звонок не был совершён с использованием вредоносного ПО или клона SIM карты прикладываю скрин из выписки оператора связи за этот период времени.
28.12.20 / 14:17 оператор технической поддержки Авито следуя разработанному для таких ситуаций регламенту, проводит проверку номера телефона звонящего и вероятно не подозревая, что вступил в диалог с мошенником идентифицирует его как владельца аккаунта. После чего выполняет просьбу мошенника о смене нашего адреса электронной почты на свой. (не очень понятно существует ли вообще какая-то система контроля рисков в Авито, так как предыдущий адрес почты не менялся с 2011 года и столь неожиданный факт смены в день предполагаемого вручения посылки по Авито-доставка не вызвал подозрения)
28.12.20 / 14:17 Авито отправило письмо на новый адрес электронной почты о том, что вами произведена смена почты. После смены почты на прежний адрес уведомления не приходят (по-моему «гениально»)
Благодаря помощи сотрудников технической поддержки Авито у мошенников теперь есть все, что необходимо, что бы украсть деньги и они переходят в режим ожидания.
28.12.20 / 18:36 Я получаю сообщение о том, что посылка поступила в пункт выдачи и прошу покупателя забрать ее в ближайшее время.
28.12.20 / 19:20 По информации от BoxBerry посылка была выдана
28.12.20 / 19:32 Мошенники выходят на сайт Авито и производят сброс пароля с использованием новой почты, таким образом получают полный доступ к профилю
При этом вход осуществляется через VPN с геолокацией в Болгарии. Здесь становиться понятно, что системы управления рисками все же либо нет, либо она совсем не работает, безопасники Авито тихо отвернулись и сделали вид, что все нормально.
Приложенный скрин был сделан из раздела уведомлений, сразу по возвращению аккаунта, сейчас его уже там нет. Авито посчитал необходимым уведомить мошенников, что VPN работает и все идет по плану, они также вероятно отправили это сообщение письмом на их почтовый адрес. Кнопка "Это не я" выглядит особенно полезной.
28.12.20 / 19:34 Мошенники просто удаляют номер, зарегистрированный на аккаунте более 9 лет, без СМС подтверждения на прежний номер или хотя бы ожидания 24 часов и вписываю свой из другого региона, что бы отрезать владельцу все возможности для оперативного восстановления доступа (безопасники Авито вышли хлопнув дверью)
28.12.20 / 19:51 Авито закрывает сделку и кидает в чат мошенникам, которым единолично (без участия кого бы то ни было) предоставил доступ к профилю, ссылку на вывод денег.
28.12.20 / 19:52 Мошенники забирают у Авито деньги, Авито их поздравляет.
Занавес
Теперь, что касается общения с командой Авито. Больше всего меня возмутил даже не сам факт наличия таковой уязвимости, хотя весь YouTube полон роликов как мошенники звонят с поддельных номеров банков, а отношение Авито к проблеме. Тот факт, что Авито единолично предоставил мошенникам доступ к моему профилю, удалось выяснить исключительно волей случая, изучая ответы, я наткнулся на соответствующую запись в истории обращений в голосовую техническую поддержку (доступна на
На момент создания статьи описанным методом может быть взломан любой аккаунт Авито с последующей кражей средств с привязанных карт или вывода оплаты за Авито-доставку и ни какие рекомендации и внедренные средства цифровой безопасности на стороне пользователя не смогут этому противостоять.
P.S.
Если вам кажется, что я не справедливо отзываюсь об уровне технической поддержки и их желании разобраться в вопросе, то можете сами оценить часть переписки.
Началась это история за считанные дни до гонца года на фоне предпраздничной суеты и желания по старой традиции закончить все дела до наступления нового года. В это время ко мне на Авито обратился покупатель, желающий приобрести комплект панелей цветокоррекции и просил оформить сделку через Авито-доставку.
Стоит сказать, что вероятно как и у многих, у меня уже был ранее опыт как покупки, так и продажи через Авито-доставку и в целом сам сервис мне казался относительно рабочим вариантом для безопасного совершения сделки. Хотя теперь я осознаю, что прибегая к услугам Авито-доставки не раз рисковал и лишь простая удача оберегала меня в прошлом. К слову, панели продавались уже довольно давно и из-за падения объемов производства кино большим вниманием не пользовались. К тому же я видел в этой сделке возможность закрыть некоторые долги до НГ, поэтому согласился.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
На следующий день заказ был передан партнеру Авито в пункт курьерской службы Boxberry. 28 декабря в 17:02 (Авито отразил это извещение с задержкой) панели успешно были доставлены в пункт выдачи в городе покупателя, о чем я тут же поспешил сообщить продавцу отправив сообщение с телефона через приложение Авито.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
В этот момент таймер уже был уже запущен и созданная командой Авито «бомба» была готова нанести свой разрушительный удар по моим планам, но как будет ясно в разборе ситуации, я никаким образом не мог этого знать. 19:20 покупатель забирает посылку о чем я получаю сообщение от службы BoxBerry. Обычно Авито требуется какое-то время для синхронизации, обработки события и отправки в чат соответствующего сообщения, обычно это около 30-45 минут.
В этот день приехав домой около половины девятого, я первым делом решил написать покупателю, поздравить его с покупкой и дать несколько советов по работе и конечно же получить оплату. Но войти в свой аккаунт я не смог.
Логин и пароль не подходили, я сразу даже не понял, что произошло, предположил, что мог, что то напутать. И это не мудрено с паролями вида gljk8+sdDfc-dHj52!d, решил его сбросить, но оказалось, что пользователь с моим номером телефона и электронной почтой больше в системе не существует. В этот момент меня наполнили страх и отчаяние, с одной стороны я понимал, что это вряд ли простое совпадение и уже не увижу 119 000 на которые так рассчитывал, а с другой, что если кому то удалось получить доступ к моей почте или телефону то могли быть скомпрометированы рабочие документы. Я тут же позвонил знакомому специалисту по информационной безопасности и мы стали проверять все что было возможно. Сетевые логи, логи почты, полученных, удаленных, перемещенных, переадресованных сообщений, IP адреса и время входов, логи оператора связи по звонкам и СМС и многое другое. И мы не нашли ничего, что могло указывать даже на попытку взлома.
На следующий день техническая поддержка Авито восстановила доступ к аккаунту и к этому моменту на нем уже был чужой номер телефона который даже не был подтверждён. И вот тут страх сменился на полное не понимание произошедшего. Я задавался вопросом: «Как в условиях полного отсутствия у мошенников доступа к моим устройствам, включая всевозможные клоны SIM карт они смогли так просто получить доступ к моему профилю Авито?».
Поиск ответов
За все время пока я пытался отыскать ответ на этот вопрос, я многократно обращался в Авито. Раз за разом проходя круги уровней технической поддержки, которые мало чем отличались и в подавляющем большинстве случаев сталкиваясь с полным не пониманием и не желанием разобраться в ситуации. Забегая вперед скажу, что уязвимость в безопасности профилей пользователей сознанная командой Авито стала возможна благодаря наличию множественных нарушений в логике работы системы уведомлений и подтверждения личности пользователей. На момент проведения расследования с использованием описанной ниже механики может быть взломан любой аккаунт Авито с последующей кражей средств с привязанных карт или вывода оплаты за Авито-доставку и ни какие рекомендации и внедренные средства цифровой безопасности на стороне пользователя не смогут этому противостоять. Я предпринял все доступные мне возможности донести до команды Авито информацию по наличию данной уязвимости, рассчитывая на признание ее существования и устранение с их стороны. Однако у меня создалось впечатление, что Авито не только не заинтересованно в проведении расследования, но и пытается скрыть причины взлома и как следствие отказывается признавать наличие уязвимости. Обращение к пользователям и профессиональному сообществу через этот пост является последней возможностью предупредить и повлиять на исправление ситуации.
Упустим детали оформления заказа по Авито-доставка, они вероятно многим известны и не стоит раздувать и так объемное повествование, остановимся лишь на том, что Авито самостоятельно формирует накладную BoxBerry, где указывает номер телефона привязанный к профилю (1), трек номер (2), наименование вложения и стоимость (3). Таким образом пока посылка в пути любой сотрудник BoxBerry (вероятно это десятки людей) имеет достаточно информации, что бы точно определить время доставки посылки в пункт выдачи, ценность содержимого и ему известен номер телефона отправителя.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
И в принципе, для транспортной накладной указание этих сведений это обычная практика, если бы не одно "но". Все дело в том, что у Авито есть голосовая техническая поддержка на номере (8-800) и для идентификации владельца аккаунта Авито достаточно, что бы звонок поступил с номера привязанного к профилю. Точнее с ID телефонного номера, думаю вы уже догадались о чем идет речь. После такой авторизации вы можете совершать любые значимые действия с профилем в частности запросить смену адреса электронной почты.
Но это только половина проблемы, а вторая половина - то что смена электронной почты происходит в так называемом «тихом режиме», без уведомлений на прежний адрес. Поэтому если вы к примеру используете вход в свой аккаунт по связке «номер телефона + пароль» вы до определённого момента даже не будете знать о том, что происходит.
Вам кажется это не возможным? Тогда читайте дальше, все пруфы выложены ниже.
Вот теперь когда пазл сложился и сомнений не осталось можно представить полную хронологию произошедшего:
Как все было
28.12.20 / 14:16 в службу технической поддержки Авито по номеру телефона 8 800 600 00 01 поступил звонок с номера телефона с поддельным ID который повторял цифры в номере телефона привязанного к моему профилю.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
В качестве доказательства, что этот звонок не был совершён с использованием вредоносного ПО или клона SIM карты прикладываю скрин из выписки оператора связи за этот период времени.
28.12.20 / 14:17 оператор технической поддержки Авито следуя разработанному для таких ситуаций регламенту, проводит проверку номера телефона звонящего и вероятно не подозревая, что вступил в диалог с мошенником идентифицирует его как владельца аккаунта. После чего выполняет просьбу мошенника о смене нашего адреса электронной почты на свой. (не очень понятно существует ли вообще какая-то система контроля рисков в Авито, так как предыдущий адрес почты не менялся с 2011 года и столь неожиданный факт смены в день предполагаемого вручения посылки по Авито-доставка не вызвал подозрения)
Для просмотра ссылки необходимо нажать
Вход или Регистрация
28.12.20 / 14:17 Авито отправило письмо на новый адрес электронной почты о том, что вами произведена смена почты. После смены почты на прежний адрес уведомления не приходят (по-моему «гениально»)
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Благодаря помощи сотрудников технической поддержки Авито у мошенников теперь есть все, что необходимо, что бы украсть деньги и они переходят в режим ожидания.
28.12.20 / 18:36 Я получаю сообщение о том, что посылка поступила в пункт выдачи и прошу покупателя забрать ее в ближайшее время.
28.12.20 / 19:20 По информации от BoxBerry посылка была выдана
Для просмотра ссылки необходимо нажать
Вход или Регистрация
28.12.20 / 19:32 Мошенники выходят на сайт Авито и производят сброс пароля с использованием новой почты, таким образом получают полный доступ к профилю
Для просмотра ссылки необходимо нажать
Вход или Регистрация
При этом вход осуществляется через VPN с геолокацией в Болгарии. Здесь становиться понятно, что системы управления рисками все же либо нет, либо она совсем не работает, безопасники Авито тихо отвернулись и сделали вид, что все нормально.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Приложенный скрин был сделан из раздела уведомлений, сразу по возвращению аккаунта, сейчас его уже там нет. Авито посчитал необходимым уведомить мошенников, что VPN работает и все идет по плану, они также вероятно отправили это сообщение письмом на их почтовый адрес. Кнопка "Это не я" выглядит особенно полезной.
28.12.20 / 19:34 Мошенники просто удаляют номер, зарегистрированный на аккаунте более 9 лет, без СМС подтверждения на прежний номер или хотя бы ожидания 24 часов и вписываю свой из другого региона, что бы отрезать владельцу все возможности для оперативного восстановления доступа (безопасники Авито вышли хлопнув дверью)
28.12.20 / 19:51 Авито закрывает сделку и кидает в чат мошенникам, которым единолично (без участия кого бы то ни было) предоставил доступ к профилю, ссылку на вывод денег.
28.12.20 / 19:52 Мошенники забирают у Авито деньги, Авито их поздравляет.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Занавес
Теперь, что касается общения с командой Авито. Больше всего меня возмутил даже не сам факт наличия таковой уязвимости, хотя весь YouTube полон роликов как мошенники звонят с поддельных номеров банков, а отношение Авито к проблеме. Тот факт, что Авито единолично предоставил мошенникам доступ к моему профилю, удалось выяснить исключительно волей случая, изучая ответы, я наткнулся на соответствующую запись в истории обращений в голосовую техническую поддержку (доступна на
Для просмотра ссылки необходимо нажать
Вход или Регистрация
). До этого момента на вопросы о возможной причине взлома мне отвечали что нужно создавать более сложные пароли (видимо еще сложнее) и прочую штампованную ерунду не имеющую отношения к моей ситуации. Даже после того как были получены все необходимые ответы и позиция осталась не изменой: "Мы не знаем как вас взломали".На момент создания статьи описанным методом может быть взломан любой аккаунт Авито с последующей кражей средств с привязанных карт или вывода оплаты за Авито-доставку и ни какие рекомендации и внедренные средства цифровой безопасности на стороне пользователя не смогут этому противостоять.
P.S.
Если вам кажется, что я не справедливо отзываюсь об уровне технической поддержки и их желании разобраться в вопросе, то можете сами оценить часть переписки.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Для просмотра ссылки необходимо нажать
Вход или Регистрация