Сервис Avito — одна из самых популярных площадок электронных объявлений в России. Увы, зачастую её услугами пользуются и мошенники. Как оказалось, в системе авторизации сервиса до недавнего времени существовала «дыра», которая стоила одному из продавцов приличной суммы при заключении сделки с покупателем.
Пользователь Pikabu рассказал, что продавая товар на «Авито», отправил через сервис «Авито Доставка», после чего тот был передан в Boxberry — но к моменту получения и оплаты аккаунт продавца оказался взломан, а денежные средства в размере 119 тысяч рублей, переведённые покупателем, исчезли. По словам пострадавшего, единственной «ниточкой» для доступа к учётной записи был его номер телефона в накладной, чем и воспользовались мошенники. Они обратились в службу поддержки «Авито», подменив номер, и получили доступ к аккаунту жертвы.
Представители сервиса электронных объявлений заявили, что уязвимость уже исправлена, и для идентификации владельца аккаунта недостаточно звонка с номера, привязанного к профилю. Кроме того, покупатель будет получать только номер накладной, а доступ к данным о посылках будут иметь только те сотрудники службы доставки, которые непосредственно занимаются её логистикой. В Boxberry отметили, что последние несут материальную ответственность и подписывают обязательство о неразглашении персональных данных клиентов и коммерческой тайны.
Комментируя произошедшее, технический директор Trend Micro в России и СНГ Михаил Кондрашин отметил, что даже такие меры не дают гарантии защиты от действий злоумышленников. Кроме того, сейчас практически во всех российских сервисах основным средством идентификации пользователя выступает номер мобильного телефона. Пример с «Авито» не единственный — по данным ЦБ, 80% злоумышленников используют подмену номеров, когда звонят якобы от лица финансовых организаций.
Источник: kommersant.ru
