Пользователь Avito обнаружил уязвимость в сервисе объявлений, которая позволяет мошенникам похищать деньги, выдавая себя за продавцов. Сервис идентифицировал злоумышленников как владельцев учётных записей из-за подмены номера телефона, после чего предоставлял им полный доступ к аккаунту. Из-за этого один из пользователей потерял 119 тысяч рублей.
Продавец воспользовался доставкой Avito, чтобы продать комплект панелей цветокоррекции. Партнёром сервиса выступила компания Boxberry, которая выполнила курьерский заказ. После уведомления о доставке пользователь попытался войти в свою учётную запись, чтобы проверить деньги на счету, однако не смог этого сделать. После восстановления доступа он заметил, что данные аккаунта изменены, а денег на счету нет.
Причиной взлома стала слишком простая система идентификации. Оказалось, что злоумышленник получил доступ к аккаунту через поддержку Avito, позвонив со стороннего номера с поддельным ID, который повторял цифры изначального владельца. Идентифицировав его как владельца, сотрудник службы поддержки согласился сменить адрес электронной почты. Пострадавший предположил, что мошенник узнал номер из накладной Boxberry, где тот был напечатан.
В разговоре с «Коммерсантом» представители Avito подтвердили, что мошенники могли выдать себя за владельца аккаунта, подменив номер телефона. В компании также заявили, что уже устранили проблему — теперь сервис запрашивает дополнительные данные. Какие именно, не уточняется.
Руководитель подразделения «Письма и посылки» в Boxberry Екатерина Коновалова отметила, что в ближайшее время эту уязвимость тоже исключат — в бумагах будет указываться только номер накладной. Она признала, что ряд сотрудников компании имеют доступ к данным, однако они подписывают обязательство о неразглашении сведений клиентов.
Технический директор Trend Micro в России и СНГ Михаил Кондрашин подчеркнул, что подписание обязательств не исключает возможного сговора сотрудников, имевших доступ к накладной, со злоумышленниками. Эксперт «Лаборатории Касперского» Сергей Голованов заявил, что утечка могла произойти на любом этапе работы, включающих продавца, площадку продажи, службу доставки и покупателя.
Источники: