«Авито» устранил уязвимость в системе после похищения со счета пользователя 119 тыс. рублей

Дата: 10.02.2021. Автор: Артем П. Категории: Новости по информационной безопасности
«Авито» устранил уязвимость в системе после похищения со счета пользователя 119 тыс. рублей

Представители «Авито» 10 февраля сообщили о том, что критическая уязвимость, найденная в сервисе «Авито-Доставка», была полностью устранена. Недостаток в системе позволял злоумышленникам выдавать себя за пользователей сервиса, менять адрес электронной почты аккаунта и выводить затем деньги со счёта.

В сообщении компании «Авито» сказано следующее: «Мы полностью изменили правила для своих сотрудников техподдержки, которые работают на телефонной горячей линии. С сегодняшнего дня, чтобы пользователь смог продолжить разговор с оператором и вносить какие-либо изменения в свою учетную запись, ему потребуется предоставить дополнительную информацию для идентификации личности».

О наличии критической уязвимости в системе «Авито-Доставка» стало известно после того, как один из пользователей рассказал о хищении с его аккаунта 119 000 рублей, которые он получил после продажи техники на площадке.

Он договорился с покупателем из другого города об отправке посылки через «Авито-Доставку». Покупатель успешно получил её, оплатил заказ в пункте выдачи товаров Boxberry. Сразу после этого сумма должна была поступить на аккаунт продавца в «Авито». Но пользователь не смог зайти в свою учетную запись, потому что за несколько часов до поступления средств она оказалась взломанной. А после восстановления доступа к ней на следующий день было обнаружено, что все деньги с аккаунта пропали.

Пострадавший предположил, что злоумышленникам удалось взломать его учетную запись с помощью звонка в телефонную службу поддержки «Авито» – мошенники с помощью специальных программ подделали номер звонящего, поэтому сотрудник техподдержки был уверен, что ему звонит реальный пользователь.

Екатерина Коновалова, глава направления «Письма и посылки» компании Boxberry прокомментировала инцидент: «Действительно, сведения в накладной посылке видна отправителю и получателю. Так же эта информация доступа и для ограниченного круга работников компании Boxberry, но те несут материальную ответственность и подписывают соглашение о неразглашении личных данных клиентов».

Прокомментировал новость и Сергей Голованов, ведущих эксперт компании Kaspersky: «Отправляя любую посылку с помощью служб доставки надо понимать, что информация о номере, стоимости содержимого, ФИО отправителя и получателя известны всем, кто с этой посылкой взаимодействует, начиная с пункта приема и заканчивая пунктом выдачи. Поэтому утечка информации могла произойти на любом этапе».

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *