Setiap kali saya menemukan ini, saya tidak pernah berhenti bertanya-tanya bagaimana mungkin sebuah perusahaan besar dapat memiliki lubang keamanan TERSEBUT.
Secara umum, jika Anda berpikir bahwa menjual sesuatu dengan pengiriman Avito, uang Anda tidak dapat dicuri, Anda salah.
Ternyata fenomenal: Avito memiliki kemampuan untuk mengubah alamat emailnya melalui telepon. Yang perlu Anda lakukan hanyalah menelepon dari nomor yang ditautkan dan memberi tahu Anda bahwa Anda ingin mengubah email Anda.
Saya menulis tentang kemungkinan teknis untuk mengubah nomor saat melakukan panggilan tiga tahun lalu (https://ammo1.livejournal.com/996419.html ). Setelah cerita dengan Navalny, semua orang tahu tentang peluang seperti itu, kecuali dukungan Avito.
Penjahat kecil mana pun dapat menggunakan aplikasi spoofing nomor telepon dan mengubah email di akun Avito Anda. Dan setelah mengubah Email, dia akan dapat mengubah kata sandi menggunakan fungsi pemulihan kata sandi. Pada saat yang sama, tidak ada pemberitahuan yang dikirim ke Email lama (asli).
Saat mengirim barang dengan pengiriman Avito, nomor telepon penjual yang terkait dengan akun Avito harus ditunjukkan pada label parsel. Nomor ini dapat dilihat oleh banyak orang, dari penerima di titik Boxberry atau di kantor Pos Rusia dan diakhiri dengan semua orang yang berpartisipasi dalam pengiriman. Pada tahap mana pun, cukup mengambil satu foto paket untuk mendapatkan nomor telepon. Dan kemudian semuanya sederhana: mereka segera mengubah email, menunggu pembeli mengambil parsel, segera mengubah kata sandi, masuk ke akun dan menarik uang ke kartu mereka.
Fakta bahwa orang-orang masuk ke akun mereka dari negara lain sama sekali tidak mengganggu Avito, tetapi peringatan seperti itu masuk ke email orang lain.
Avito juga tidak peduli sama sekali bahwa semua manipulasi dengan akun terjadi pada saat Avito dikirimkan.
Dengan menggunakan tipu muslihat sederhana ini, para penyerang mencuri 119.000 rubel hanya untuk satu pengiriman, tetapi cerita ini jelas tidak unik.
Korban, melakukan penyelidikan sendiri dan menggambarkan keseluruhan cerita secara rinci sini .
Saya sangat berharap bahwa Avito akan memperhatikan situasi ini dan setidaknya menambahkan pemberitahuan ke Email lama ketika mencoba mengubah email melalui telepon, dan mengonfirmasi tindakan ini melalui SMS.
Dan itu juga benar jika Avito mengganti semua kerugian yang diderita dari lubang keamanan dalam "Transaksi Aman Pengiriman Avito".
© 2021, Alexey Nadezhin
Selama sepuluh tahun saya telah menulis setiap hari tentang teknologi, diskon, tempat menarik, dan acara. Baca blog saya di situs ammo1.ru, di LJ, Zen, Mirtesen, Telegram .
Proyek saya:
Lamptest.ru. Saya menguji lampu LED dan membantu mencari tahu mana yang bagus dan mana yang tidak begitu bagus.
Elerus.ru. Saya mengumpulkan informasi tentang perangkat elektronik domestik untuk penggunaan pribadi dan membagikannya.
Anda dapat menghubungi saya di Telegram @ amunisi dan melalui surat [email protected] .