Ogni volta che mi imbatto in questo, non smetto mai di chiedermi come sia possibile che una grande azienda possa avere TALI falle nella sicurezza.
In generale, se pensi che vendendo qualcosa con consegna Avito, i tuoi soldi non possano essere rubati, ti sbagli.
Si è rivelato fenomenale: Avito ha la possibilità di cambiare il suo indirizzo e-mail per telefono. Tutto quello che devi fare è chiamare dal numero collegato e informarti che desideri modificare la tua e-mail.
Ho scritto sulla possibilità tecnica di cambiare il numero quando si effettua una chiamata tre anni fa (https://ammo1.livejournal.com/996419.html ). Dopo la storia con Navalny, tutti conoscevano un'opportunità del genere, tranne il supporto di Avito.
Qualsiasi piccolo truffatore può utilizzare l'applicazione di spoofing del numero di telefono e modificare l'e-mail nel tuo account Avito. E dopo aver cambiato l'email, sarà in grado di cambiare la password utilizzando la funzione di recupero della password. Allo stesso tempo, nessuna notifica viene inviata alla vecchia (reale) e-mail.
Quando si inviano merci tramite consegna Avito, sull'etichetta del pacco deve essere indicato il numero di telefono del venditore associato all'account Avito. Questo numero può essere visto da molte persone, dal destinatario presso il punto Boxberry o presso l'ufficio postale russo e termina con tutti coloro che partecipano alla consegna. In qualsiasi momento, è sufficiente scattare una foto del pacco per ottenere un numero di telefono. E poi tutto è semplice: cambiano subito la mail, aspettano che l'acquirente ritiri il pacco, cambiano subito la password, entrano nel conto e ritirano i soldi sulla loro carta.
Il fatto che le persone abbiano effettuato l'accesso al proprio account da un altro paese non disturba affatto Avito, ma tale avviso arriva all'e-mail di qualcun altro.
Avito inoltre non si preoccupa affatto del fatto che tutte le manipolazioni con l'account avvengano nel momento in cui Avito viene consegnato.
Usando questo semplice schema, gli aggressori hanno rubato 119.000 rubli per una sola consegna, ma questa storia non è certamente unica.
La vittima, ha condotto le proprie indagini e ha descritto l'intera storia in dettaglio Qui .
Mi piacerebbe molto sperare che Avito presti attenzione a questa situazione e almeno aggiunga una notifica alla vecchia e-mail quando si tenta di cambiare l'e-mail per telefono e confermi questa azione tramite SMS.
E sarà anche corretto se Avito rimborserà tutte le perdite subite dal buco di sicurezza nell '"Avito-Delivery Safe Deal".
© 2021, Alexey Nadyozhin
Da dieci anni scrivo ogni giorno di tecnologia, sconti, luoghi di interesse ed eventi. Leggi il mio blog sul sito ammo1.ru, nel LJ, zen, Mirtesen, Telegramma .
I miei progetti:
Lamptest.ru. Provo le lampade a LED e aiuto a capire quali sono buone e quali non lo sono.
Elerus.ru. Raccolgo informazioni sui dispositivi elettronici domestici per uso personale e le condivido.
Puoi contattarmi su Telegram @ ammo1 e per posta [email protected] .