Каждый раз, натыкаясь на такое, я не перестаю удивляться, как это возможно, что у большой компании могут быть ТАКИЕ дыры в безопасности.
В общем, если вы думаете, что продавая что-то с доставкой Авито, ваши деньги не могут украсть, вы ошибаетесь.
Выяснилось феноменальное: у Авито есть возможность изменения адреса электронной почту по телефону. Всё, что для этого нужно, позвонить с привязанного номера и сообщить, что хотите изменить E-mail.
О технической возможности подмены номера при звонке я писал ещё три года назад (https://ammo1.livejournal.com/996419.html ). После истории с Навальным о такой возможности узнали все, кроме поддержки Авито.
Любой мелкий жулик может воспользоваться приложением для подмены номера и изменить E-mail в вашем аккаунте Avito. А изменив Email, он сможет изменить и пароль, воспользовавшись функцией восстановления пароля. При этом на старый (настоящий) Email никакие уведомления не приходят.
При отправке товара доставкой Avito, на этикетке посылки обязательно указывается номер телефона продавца, привязанный к аккаунту Avito. Этот номер может видеть множество людей, начиная от приёмщика в пункте Boxberry или в отделении Почты России и заканчивая всеми, кто участвует в доставке. На любом этапе достаточно сделать одну фотографию посылки, чтобы заполучить номер телефона. А дальше всё просто: e-mail меняют сразу, дожидаются, когда покупатель забирает посылку, тут же меняют пароль, заходят в аккаунт и выводят деньги на свою карту.
То, что в аккаунт заходят из другой страны, Avito совершенно не смущает, а вот такое предупреждение приходит уже на чужой email.
Авито также совершенно не смущает, что все манипуляции с аккаунтом происходят в тот момент, когда осуществляется доставка Авито.
Пользуясь этой нехитрой махинацией, злоумышленники украли 119 000 рублей только за одну доставку, но наверняка такая история не единична.
Пострадавший, провёл своё расследование и подробно описал всю историю тут .
Очень хочется надеяться, что Авито обратит внимание на эту ситуацию и как минимум добавит оповещение на старый Email при попытке сменить e-mail по телефону, и подтверждение этого действия по СМС.
А ещё будет правильно, если Авито возместит все потери пострадавшим от дыры в безопасности "Безопасной сделки Авито-доставка".
© 2021, Алексей Надёжин
Десять лет я каждый день пишу о технике, скидках, интересных местах и событиях. Читайте мой блог на сайте ammo1.ru , в ЖЖ , Дзен , МирТесен , Telegram .
Мои проекты:
Lamptest.ru . Тестирую светодиодные лампы и помогаю разобраться, какие из них хорошие, а какие не очень.
Elerus.ru . Собираю информацию об отечественных электронных устройствах для личного использования и делюсь ей.
Вы можете связаться со мной в Телеграм @ammo1 и по почте ammo1@mail.ru .
