Hver gang jeg kommer over dette, slutter jeg aldri å lure på hvordan det er mulig at et stort selskap kan ha SÅKE sikkerhetshull.
Generelt sett tar du feil hvis du tror at det å selge noe med Avito-levering, ikke pengene dine kan bli stjålet.
Det viste seg fenomenalt: Avito har muligheten til å endre e-postadressen sin via telefon. Alt du trenger å gjøre er å ringe fra det tilknyttede nummeret og informere deg om at du vil endre e-posten din.
Jeg skrev om den tekniske muligheten for å endre nummeret når jeg ringte for tre år siden (https://ammo1.livejournal.com/996419.html ). Etter historien med Navalny visste alle om en slik mulighet, bortsett fra Avitos støtte.
Enhver liten skurk kan bruke telefonnummeret for falske applikasjoner og endre e-posten i Avito-kontoen din. Og etter å ha endret e-posten, vil han kunne endre passordet ved hjelp av passordgjenopprettingsfunksjonen. Samtidig sendes ingen varsler til den gamle (ekte) e-posten.
Når du sender varer med Avito-levering, må selgerens telefonnummer tilknyttet Avito-kontoen være angitt på pakkeetiketten. Dette nummeret kan sees av mange mennesker, alt fra mottakeren på Boxberry-punktet eller på det russiske postkontoret og slutter med alle som deltar i leveransen. Når som helst er det nok å ta ett bilde av pakken for å få et telefonnummer. Og så er alt enkelt: de endrer e-posten med en gang, venter på at kjøperen henter pakken, endrer umiddelbart passordet, går inn på kontoen og tar ut pengene til kortet sitt.
Det at folk er logget inn på kontoen sin fra et annet land, plager ikke Avito i det hele tatt, men en slik advarsel kommer til andres e-post.
Avito gidder heller ikke i det hele tatt at alle manipulasjoner med kontoen skjer i det øyeblikket Avito leveres.
Ved å bruke denne enkle bearbeidingen stjal angriperne 119.000 rubler for bare en levering, men denne historien er absolutt ikke unik.
Offeret, gjennomførte sin egen etterforskning og beskrev hele historien i detalj her .
Jeg vil veldig gjerne håpe at Avito vil ta hensyn til denne situasjonen og i det minste legge til et varsel til den gamle e-posten når du prøver å endre e-posten via telefon, og bekrefte denne handlingen via SMS.
Og det vil også være riktig hvis Avito refunderer alle tap som lider av sikkerhetshullet i "Avito-Delivery Safe Deal".
© 2021, Alexey Nadezhin
I ti år har jeg skrevet hver dag om teknologi, rabatter, interessante steder og arrangementer. Les bloggen min på siden ammo1.ru, i LJ, Zen, Mirtesen, Telegram .
Mine prosjekter:
Lamptest.ru. Jeg tester LED-lamper og hjelper med å finne ut hvilke som er gode og hvilke som ikke er så gode.
Elerus.ru. Jeg samler inn informasjon om innenlandske elektroniske enheter for personlig bruk og deler den.
Du kan kontakte meg i Telegram @ ammo1 og per post [email protected] .