По мнению экспертов, это не защищает от злоупотреблений. Сотрудники Boxberry, имеющие доступ к накладной, могли вступить в сговор со злоумышленниками, знающими об уязвимости «Авито». Об отправке посылки на крупную сумму знали покупатель, продавец, площадка продажи и сервис доставки. Утечка могла произойти на любом этапе, считают эксперты. Также проблема может быть в том, что «Авито» идентифицирует пользователей по звонку в службу поддержки. В доработке нуждается регламент смены данных в аккаунте клиента, полагают эксперты.
Экономическаяпреступность сегодня
Мошенники выводили деньги клиентов «Авито» из-за уязвимости в сервисе
В сервисе «Авито» обнаружена новая уязвимость. Как сообщил в среду «Коммерсант», используя технологию подмены номера телефона, мошенники могли получить доступ к аккаунту пользователя при продаже товаров через «Авито Доставку» и вывести деньги. Проблему в системе идентификации клиентов сервиса обнаружил пользователь Pikabu. Он продал на «Авито» товар за 119 тыс. рублей, его передали Boxberry, а когда покупатель получил купленное, на счет продавца должна была поступить оплата. Но в этот момент аккаунт взломали, после восстановления доступа оказалось, что все данные сменены, а денег на счету уже нет. По версии пострадавшего, взлом произошел из-за того, что в накладной Boxberry был указан его номер телефона.
Для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю «Авито», в службу поддержки компании. Мошенник, обладающий данными из накладной, мог позвонить в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту, полагает пострадавший.
Подделывая номера, злоумышленники могут выдать себя за клиента при обращении в службу поддержки, подтвердили в «Авито». Там сообщили, что уже решили проблему, поменяв правила для операторов. Теперь при обращениях клиентов по телефону они запрашивают дополнительные данные.