Vsakič, ko naletim na to, se ne preneham spraševati, kako je mogoče, da ima veliko podjetje TAKšne varnostne luknje.
Na splošno velja, da če menite, da pri prodaji nečesa z dostavo Avito vašega denarja ni mogoče ukrasti, se motite.
Izkazalo se je fenomenalno: Avito lahko spremeni svoj e-poštni naslov po telefonu. Vse kar morate storiti je, da pokličete s povezane številke in vas obvestite, da želite spremeniti svoj e-poštni naslov.
O tehnični možnosti spremembe številke pri klicu sem pisal pred tremi leti (https://ammo1.livejournal.com/996419.html ). Po zgodbi z Navalnyjem so za takšno priložnost vedeli vsi, razen Avitove podpore.
Vsak droben prevarant lahko uporabi program za ponarejanje telefonske številke in spremeni e-pošto v svojem računu Avito. In po spremembi e-pošte bo lahko geslo spremenil s pomočjo funkcije za obnovitev gesla. Hkrati se na staro (pravo) e-pošto ne pošlje nobeno obvestilo.
Pri pošiljanju blaga z dostavo Avito mora biti na nalepki paketa navedena telefonska številka prodajalca, povezana z računom Avito. To številko lahko vidijo številni ljudje, od sprejemnika do točke Boxberry ali ruske pošte in do konca vseh, ki sodelujejo pri dostavi. V kateri koli fazi je dovolj, da posnamete eno fotografijo paketa, da dobite telefonsko številko. In potem je vse preprosto: takoj zamenjajo e-pošto, počakajo, da kupec prevzame paket, takoj spremenijo geslo, gredo na račun in dvignejo denar na svojo kartico.
Dejstvo, da so ljudje prijavljeni v svoj račun iz druge države, Avita sploh ne moti, a takšno opozorilo pride na e-pošto nekoga drugega.
Tudi Avito se sploh ne moti, da se vse manipulacije z računom zgodijo v trenutku, ko je Avito dostavljen.
S to preprosto mahinacijo so napadalci za samo eno dostavo ukradli 119.000 rubljev, vendar ta zgodba zagotovo ni edinstvena.
Žrtev je opravil lastno preiskavo in podrobno opisal celotno zgodbo tukaj .
Zelo bi upal, da bo Avito pozoren na to situacijo in bo vsaj poskusil e-pošto po telefonu dodati obvestilo staremu e-poštnemu sporočilu in to dejanje potrditi s SMS-om.
Prav tako bo pravilno, če bo Avito povrnil vse izgube, ki so nastale zaradi varnostne luknje v "Avito-Delivery Safe Deal".
© 2021, Aleksej Nadjožin
Že deset let vsak dan pišem o tehnologiji, popustih, zanimivih krajih in dogodkih. Preberite moj blog na spletnem mestu ammo1.ru, v LJ, Zen, Mirtesen, Telegram .
Moji projekti:
Lamptest.ru. Preizkusim LED svetilke in pomagam ugotoviti, katere so dobre in katere ne.
Elerus.ru. Zbiram podatke o domačih elektronskih napravah za osebno uporabo in jih delim z drugimi.
Lahko me kontaktirate v Telegramu @ ammo1 in po pošti [email protected] .