Hver gang jeg støder på dette, ophører jeg aldrig med at spekulere på, hvordan det er muligt, at et stort firma kan have SÅDE sikkerhedshuller.
Generelt, hvis du mener at sælge noget med Avito-levering, kan dine penge ikke stjæles, tager du fejl.
Det viste sig fænomenalt: Avito har evnen til at ændre sin e-mail-adresse via telefon. Alt du skal gøre er at ringe fra det linkede nummer og informere dig om, at du vil ændre din e-mail.
Jeg skrev om den tekniske mulighed for at ændre nummeret, når jeg foretog et opkald for tre år siden (https://ammo1.livejournal.com/996419.html ). Efter historien med Navalny vidste alle om en sådan mulighed undtagen Avitos støtte.
Enhver lille skurk kan bruge telefonnummer-spoofing-applikationen og ændre e-mailen i din Avito-konto. Og efter at have ændret e-mailen, kan han ændre adgangskoden ved hjælp af funktionen til gendannelse af adgangskode. Samtidig sendes der ingen meddelelser til den gamle (rigtige) e-mail.
Når du sender varer ved levering af Avito, skal sælgers telefonnummer, der er knyttet til Avito-kontoen, være angivet på pakkemærket. Dette nummer kan ses af mange mennesker fra modtageren ved Boxberry-punktet eller på det russiske postkontor og slutter med alle, der deltager i leveringen. På ethvert tidspunkt er det nok at tage et billede af pakken for at få et telefonnummer. Og så er alt simpelt: de skifter e-mail med det samme, venter på, at køberen afhenter pakken, ændrer straks adgangskoden, går ind på kontoen og trækker pengene til deres kort.
Det faktum, at folk er logget ind på deres konto fra et andet land, generer Avito slet ikke, men en sådan advarsel kommer til andres e-mail.
Avito generer heller ikke, at alle manipulationer med kontoen sker i det øjeblik, hvor Avito leveres.
Ved hjælp af denne enkle bearbejdning stjal angriberne 119.000 rubler til kun en levering, men denne historie er bestemt ikke unik.
Offeret gennemførte sin egen efterforskning og beskrev hele historien detaljeret her .
Jeg vil meget gerne håbe, at Avito vil være opmærksom på denne situation og i det mindste tilføje en meddelelse til den gamle e-mail, når de prøver at ændre e-mailen via telefon og bekræfte denne handling via SMS.
Og det vil også være korrekt, hvis Avito godtgør alle tab, der er lidt under sikkerhedshullet i "Avito-Delivery Safe Deal".
© 2021, Alexey Nadyozhin
I ti år har jeg skrevet hver dag om teknologi, rabatter, seværdigheder og begivenheder. Læs min blog på siden ammo1.ru, i LJ, Zen, Mirtesen, Telegram .
Mine projekter:
Lamptest.ru. Jeg tester LED-lamper og hjælper med at finde ud af, hvilke der er gode, og hvilke der ikke er.
Elerus.ru. Jeg indsamler oplysninger om indenlandske elektroniske enheder til personlig brug og deler dem.
Du kan kontakte mig i Telegram @ ammo1 og via mail [email protected] .