Новости Software

Вскрылось, как злоумышленники воровали деньги из личных кабинетов пользователей Авито

Пользователь Avito обнаружил уязвимость в сервисе объявлений, которая позволяет мошенникам похищать деньги, выдавая себя за продавцов. Сервис идентифицировал злоумышленников как владельцев учётных записей из-за подмены номера телефона, после чего предоставлял им полный доступ к аккаунту. Из-за этого один из пользователей потерял 119 тысяч рублей.

 Владимир Астапкович, РИА «Новости»

Владимир Астапкович, РИА «Новости»

Продавец воспользовался доставкой Avito, чтобы продать комплект панелей цветокоррекции. Партнёром сервиса выступила компания Boxberry, которая выполнила курьерский заказ. После уведомления о доставке пользователь попытался войти в свою учётную запись, чтобы проверить деньги на счету, однако не смог этого сделать. После восстановления доступа он заметил, что данные аккаунта изменены, а денег на счету нет.

Причиной взлома стала слишком простая система идентификации. Оказалось, что злоумышленник получил доступ к аккаунту через поддержку Avito, позвонив со стороннего номера с поддельным ID, который повторял цифры изначального владельца. Идентифицировав его как владельца, сотрудник службы поддержки согласился сменить адрес электронной почты. Пострадавший предположил, что мошенник узнал номер из накладной Boxberry, где тот был напечатан.

 Pikabu

Pikabu

В разговоре с «Коммерсантом» представители Avito подтвердили, что мошенники могли выдать себя за владельца аккаунта, подменив номер телефона. В компании также заявили, что уже устранили проблему — теперь сервис запрашивает дополнительные данные. Какие именно, не уточняется.

Руководитель подразделения «Письма и посылки» в Boxberry Екатерина Коновалова отметила, что в ближайшее время эту уязвимость тоже исключат — в бумагах будет указываться только номер накладной. Она признала, что ряд сотрудников компании имеют доступ к данным, однако они подписывают обязательство о неразглашении сведений клиентов.

Технический директор Trend Micro в России и СНГ Михаил Кондрашин подчеркнул, что подписание обязательств не исключает возможного сговора сотрудников, имевших доступ к накладной, со злоумышленниками. Эксперт «Лаборатории Касперского» Сергей Голованов заявил, что утечка могла произойти на любом этапе работы, включающих продавца, площадку продажи, службу доставки и покупателя.

Источники:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
По мотивам культовой аркадной серии Pac-Man собираются снять полнометражный фильм 8 ч.
Мобильная маркетинговая сеть AppLovin готова купить разработчика движка Unity за $17 млрд, но при одном условии 9 ч.
Создатели Blade Runner: Enhanced Edition объяснили проблемный запуск переиздания человеческим фактором 10 ч.
Шифрование в Windows 11 может повреждать данные, однако у Microsoft есть решение 10 ч.
Иран впервые разместил заказ на импорт товаров с оплатой в криптовалюте 11 ч.
Не выходя из «беты»: аудитория платформенного файтинга MultiVersus достигла 10 млн человек 11 ч.
Условно-бесплатный экшен ARC Raiders уступит место первой игры Embark Studios её командному шутеру 12 ч.
NVIDIA выпустила драйвер GeForce Game Ready 516.94 WHQL с поддержкой Marvel’s Spider-Man Remastered и новыми игровыми оптимизациями 13 ч.
Видео: вампир-убийца и неоновая Япония в анонсирующем трейлере экшена Tokyo Underground Killer 13 ч.
В соцсети «ВКонтакте» началось тестирование обновлённой ленты 14 ч.
Президент США Байден подписал пакет законов, предусматривающий субсидирование национальной полупроводниковой отрасли на сумму более $52 млрд 43 мин.
Новая статья: Цифровой рубль: деньги, что и вправду любят счёт 6 ч.
Лос-Аламосская национальная лаборатория и SK hynix создали новый класс вычислительных накопителей 7 ч.
Разработчик СЖО CoolIT Systems сообщил о рекордном росте выручки во II квартале 8 ч.
Xiaomi на этой неделе представит самый тонкий в мире складной смартфон MIX Fold 2 8 ч.
По стопам NVIDIA: Micron предупредила акционеров о снижении выручки из-за падения спроса на память 10 ч.
Первый ушёл: ирландский оператор Dataplex приступил к самоликвидации из-за новой политики властей в отношении ЦОД 10 ч.
Игровой ноутбук MSI GE77 HX Raider 12U на процессоре Core HX 12-го поколения поступил в продажу в DNS 11 ч.
Китайская компания Biren представила ИИ-ускоритель BR100, который обгоняет по производительности NVIDIA A100 12 ч.
В Китае представили ускоритель вычислений Biren BR100, который превосходит NVIDIA Ampere A100 13 ч.