Используются материалы Financial Times Financial Times
Поддержите VTimes, чтобы мы могли работать для вас.

Время чтения: 1 мин
Обновлено:

Пользователь «Авито» потерял почти 120 000 рублей из-за уязвимости в сервисе

В сервисе «Авито» обнаружили уязвимость, которая позволяет выводить деньги клиентов при продаже товаров через «Авито доставку». Об этом сообщил «Коммерсантъ».

О мошеннической схеме рассказал пользователь сообщества Pikabu. В декабре 2020 г. он выставил на продажу товар за 119 000 руб., затем товар передали в службу доставки Boxberry. Когда клиент должен был перевести деньги за покупку, аккаунт продавца взломали. После восстановления к нему доступа выяснилось, что все данные в нем изменены, а денег на счету уже не было.

Взлом произошел из-за того, что в накладной Boxberry был указан его номер телефона, предположил пострадавший. Для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю «Авито», в службу поддержки компании. Мошенник, завладевший доступом к данным из накладной, мог позвонить в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту.

Представитель  «Авито» подтвердил, что злоумышленники могут выдать себя за клиента при обращении в службу поддержки. В компании также сообщили, что решили проблему, поменяв правила для операторов: теперь при обращениях клиентов по телефону служба поддержки запрашивает дополнительные данные. 

В Boxberry также сообщили, что компания изменит доступ покупателя к информации в накладной. Если сейчас он знает номер отправления и номер телефона продавца, то «в ближайшее время покупатель будет получать только номер накладной». Доступ к данным о посылках есть и у некоторых сотрудников сервиса, поделилась представитель Boxberry. Она исключила вероятность того, что кто-то из сотрудников замешан в мошенничестве, так как «они несут материальную ответственность и подписывают обязательство о неразглашении персональных данных клиентов и коммерческой тайны».

Ведущий эксперт «Лаборатории Касперского» Сергей Голованов заявил, что такие обязательства не защищают от злоупотреблений и утечка данных может произойти на любом этапе. Решением проблемы может стать отказ от использования телефонных номеров для идентификации клиентов и переход к более надежным методам, например к идентификации по устройству или электронной генерации кода.

Хотите сообщить об ошибке? Выделите текст и нажмите Ctrl+Enter

Спасибо, что читаете эту статью!

Поддержите VTimes, чтобы мы могли продолжать работать для вас.