Varje gång jag stöter på detta slutar jag aldrig undra hur det är möjligt att ett stort företag kan ha SÅDAN säkerhetshål.
I allmänhet, om du tror att sälja något med Avito-leverans, kan dina pengar inte stulas, tar du fel.
Det visade sig fenomenalt: Avito har möjlighet att ändra sin e-postadress via telefon. Allt du behöver göra är att ringa från det länkade numret och meddela att du vill ändra din e-post.
Jag skrev om den tekniska möjligheten att ändra numret när jag ringde för tre år sedan (https://ammo1.livejournal.com/996419.html ). Efter berättelsen med Navalny visste alla om en sådan möjlighet, förutom Avitos stöd.
Alla småskurkar kan använda telefonspoofing-applikationen och ändra e-postmeddelandet i ditt Avito-konto. Och efter att ha bytt e-post kan han ändra lösenordet med hjälp av funktionen för återställning av lösenord. Samtidigt skickas inga aviseringar till den gamla (riktiga) e-postadressen.
När du skickar varor med Avito-leverans måste säljarens telefonnummer som är kopplat till Avito-kontot anges på paketetiketten. Detta nummer kan ses av många människor, från mottagaren vid Boxberry-punkten eller på det ryska postkontoret och slutar med alla som deltar i leveransen. Under alla omständigheter räcker det att ta ett foto av paketet för att få ett telefonnummer. Och då är allt enkelt: de byter e-post direkt, väntar på att köparen hämtar paketet, byter omedelbart lösenordet, går in på kontot och tar ut pengarna till sitt kort.
Det faktum att människor är inloggade på sitt konto från ett annat land stör Avito inte alls, men en sådan varning kommer till någon annans e-post.
Avito bryr sig inte alls att alla manipulationer med kontot sker i det ögonblick då Avito levereras.
Med denna enkla bearbetning stal angriparna 119 000 rubel för bara en leverans, men den här historien är verkligen inte unik.
Offret, genomförde sin egen utredning och beskrev hela historien i detalj här .
Jag vill verkligen hoppas att Avito kommer att uppmärksamma denna situation och åtminstone lägga till ett meddelande i det gamla e-postmeddelandet när man försöker ändra e-postmeddelandet per telefon och bekräfta denna åtgärd via SMS.
Och det kommer också att vara korrekt om Avito ersätter alla förluster från säkerhetshålet i "Avito-Delivery Safe Deal".
© 2021, Alexey Nadyozhin
I tio år har jag skrivit varje dag om teknik, rabatter, sevärdheter och evenemang. Läs min blogg på webbplatsen ammo1.ru, i LJ, Zen, Mirtesen, Telegram .
Mina projekt:
Lamptest.ru. Jag testar LED-lampor och hjälper till att ta reda på vilka som är bra och vilka som inte är.
Elerus.ru. Jag samlar in information om inhemska elektroniska enheter för personligt bruk och delar den.
Du kan kontakta mig i Telegram @ ammo1 och via post [email protected] .