В сервисе «Авито» была найдена уязвимость, которая давала возможность мошенникам получать доступ к аккаунтам пользователей и выводить деньги за товары.
Проблему в системе идентификации клиентов сервиса, которая позволяла мошенникам выводить деньги за товары, они были проданы через сервис «Авито Доставка», удалось выявить благодаря одному из пользователей ресурса.
В сообщении указывается, что в декабре прошлого года пользователь продал на «Авито» товар за 119 тыс. руб. Товар был передан Boxberry, а когда покупатель получил его, на счет продавца должна была поступить оплата. Однако в этот момент аккаунт был взломан. После того как был восстановлен доступ оказалось, что все данные были сменены, а денег на счету уже нет.
Пострадавший предполагает, что взлом случился из-за указанного в накладной Boxberry номера его мобильного телефона.
Для того, чтобы идентифицировать владельца аккаунта, необходимо было только позвонить с номера, который привязан к профилю «Авито», в службу поддержки компании. Таким образом, злоумышленник, получив данные из накладной, мог спокойно обратиться в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту. Такое предположение было высказано пострадавшим.
В «Авито» также подтвердили, что мошенники могут выдавать себя за клиента при обращении в службу поддержки, подделав номер. В то же время там отметили, что проблема уже решена благодаря тому, что были сменены правила для операторов. Сейчас они будут запрашивать дополнительные данные при обращениях клиентов по телефону.
