Проблему в системе идентификации клиентов сервиса «Авито», позволяющую мошенникам получать доступ к аккаунтам и выводить деньги за товары, проданные через «Авито Доставка», обнаружил пользователь Pikabu.
В декабре прошлого года он продал на «Авито» товар за 119 тысяч рублей. Его передали Boxberry, а когда покупатель получил товар, на счет продавца должна была прийти оплата. Однако в этот момент аккаунт взломали. После восстановления доступа оказалось, что все данные были изменены, а денег на счету нет.
Пострадавший считает, что взлом произошел из-за того, что в накладной Boxberry стоял номер его телефона. Для идентификации владельца аккаунта достаточно просто позвонить в службу поддержки компании с номера, привязанного к профилю «Авито». То есть мошенник, который обладает данными из накладной, мог совершить звонок от лица продавца с помощью подмены номера и завладеть аккаунтом.
Подделывая номера, мошенники могут выдать себя за клиента при обращении в службу поддержки, подтвердили «
Коммерсанту» в «Авито». Там отметили, что уже решили проблему, поменяв правила для операторов. Теперь при обращениях по телефону они запрашивают дополнительные сведения.
Каким образом злоумышленник получил номер, точно сказать нельзя. Данные в накладной видны отправителю и получателю, покупатель знает номер отправления и номер телефона продавца, пояснила руководитель направления «Письма и посылки» Boxberry Екатерина Коновалова.
Она отметила, что компания уже работает над устранением уязвимости. При этом доступ к посылкам есть и у «некоторых сотрудников Boxberry». Однако они несут материальную ответственность и подписывают документ о неразглашении личных данных клиентов и коммерческой тайны.
При этом эксперты считают, что такая бумага не защитит о злоупотреблений. По их словам, сотрудники Boxberry, которые имеют доступ к накладной, могли вступить в сговор с мошенниками, знающими об уязвимости «Авито».
Ранее доцент кафедры «Интеллектуальные системы информационной безопасности» РТУ МИРЭА Евгений Кашкин
рассказал, что в результате передачи смартфона незнакомцу, например, для звонка у владельца устройства могут пропасть все деньги с банковской карты, которая привязана к номеру телефона.
