Начало > Архив ЖЖ > 2021

Про дыру в Авито

2021-02-09 13:44:00

ammo1 написал про случай с уводом аккаунта Авито и, соответственно, денег, которые должны были прийти продавцу после "безопасной" сделки через Авито:
https://ammo1.livejournal.com/1218780.html

Оригинальная история на пикабу

Вкратце суть проблемы:
- Мошенники отследили трек посылки дорогой посылки, отправленной через Авито-доставку (Авито получает деньги с покупателя и после доставки посылки пересылает их продавцу)
- Авито по входящему звонку с подмененным исходящим номером идентифицировало мошенников как владельца аккаунта и сменило адрес электронной почты в аккаунте.
- Далее мошенники дождались, когда можно будет получить деньги, сменили через уже свою почту пароль от аккаунта и номер телефона, подставили в форму свою карту и получили деньги от Авито.
- Продавцу не приходило никаких уведомления на старый емейл и телефон о смене реквизитов, техподдержка не давала никакой информации, он только случайно увидел запись о том, что было обращение в службу техподдержки.

Очевидно, что идентификация по номеру звонящего - это никакая не идентификация. И менять реквизиты по телефону - это я даже не знаю, как назвать. Допустим, человек забыл пароль и потерял доступ к электронной почте. Но ведь звонок идет с привязанного номера - значит, номер-то человек по-прежнему контролирует и может восстановить доступ к аккаунту и затем сменить адрес почты.

This entry was originally posted at https://veefore.dreamwidth.org/137060.html

Эта запись в ЖЖ: http://veefore.livejournal.com/353415.html