«Авито» потребовался месяц, чтобы закрыть очевидную уязвимость. Украсть деньги со счета мог почти любой

Сервис «Авито» для продаж с доставкой товара предлагает услугу «Авито Доставка» – по ней деньги резервируются на специальном счете компании до момента, как покупатель получит товар, проверит его в пункте выдачи и заберет. Затем деньги со счета в «Авито» можно вывести на банковскую карту. Работает это неидеально – но раньше жалобы касались недобросовестных покупателей, незаметно менявших купленный товар на что-то другое и отказывавшихся его забрать.

Но несколько дней назад на Pikabu пользователь рассказал о куда более серьезном просчете службы безопасности компании. Он продавал специальное оборудование ценой в 119 000 рублей через «Авито Доставку». После продажи он не смог зайти в свой личный кабинет – как оказалось, от его учетной записи «отвязали» его номер телефона и «привязали» к ней совсем другой.

В результате злоумышленник смог вывести всю сумму со счета до того, как продавец товара восстановил доступ к своему личному кабинету.

Обращения в службу поддержки «Авито» почти ничего не дали, но в итоге схема стала понятна. Дело в том, что восстановить доступ к личному кабинету пользователя можно по номеру телефона – позвонив с этого номера в службу поддержки. Дальше можно сменить пароль, электронную почту и другие данные.

Но существуют разные сервисы, которые позволяют подменять номер телефона при исходящем вызове. Злоумышленник так и сделал – как-то узнав номер телефона отправителя посылки, позвонил с него (через подмену) в службу поддержки и сменил пароль и адрес электронной почты.

Пока неизвестно, на каком этапе утек номер телефона – сам пострадавший полагает, что это произошло на этапе доставки через службу Boxberry. В накладной на доставку указывается номер телефона отправителя, а к посылке имеют доступ многие сотрудники службы доставки.

Наличие проблем не отрицают и в «Авито», и в Boxberry. Так, представители «Авито» подтвердили, что доступ к личному кабинету действительно можно получить, позвонив в службу поддержки с привязанного номера телефона. Сейчас проблему устранили – при обращении по телефону у клиента запрашивают дополнительные данные.

В Boxberry отметили, что информация действительно есть на посылке – но уже в ближайшее время в правила внесут изменения и покупатель получит только номер накладной, а сотрудники компании несут ответственность за разглашение данных клиентов. Правда, это вряд ли поможет – учитывая, что продавец обычно указывает в объявлении свой номер телефона.

Проблема подмены телефонных номеров стала особенно актуальна в настоящее время – злоумышленники подделывают звонки, маскируясь под службы безопасности банков и других служб, чтобы выманивать данные карт и вести мошенническую деятельность. При этом проблема осложняется тем, что сейчас почти во всех сервисах телефонный номер – основной способ идентификации пользователя.