Какой не должна быть система идентификации клиента

Клиент «Авито» обнаружил, что используя технологию подмены номера телефона, мошенники могли получить доступ к аккаунту пользователя при продаже товаров через «Авито Доставку» и вывести деньги. В компании уже изменили систему идентификации на более надежную, но ее история – другим пример.

В декабре 2020 года пользователь «Авито» продал товар за 119 тыс. руб. Товар передали Boxberry, а когда покупатель получил его, на счет продавца должна была поступить оплата. Но в этот момент аккаунт взломали. После восстановления доступа оказалось, что все данные сменены, а денег на счету уже нет. Об истории продавец рассказал на Pikabu. Начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд прокомментировал ее для «Коммерсанта» – газета разобралась в проблеме.

По версии пострадавшего, взлом произошел из-за того, что в накладной Boxberry был указан его номер телефона. Дело в том, что для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю «Авито», в службу поддержки компании. Получается, что мошенник, обладающий данными из накладной, мог позвонить в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту, предполагал продавец.

И действительно, в «Авито» подтвердили, что подделывая номера, злоумышленники могут выдать себя за клиента при обращении в службу поддержки. И уже поменяли правила для операторов, теперь они запрашивают дополнительные данные, пишет издание.

Но что это за данные? Если, к примеру, это номер паспорта – то проблема не решена. В результате многочисленных утечек данных россиян, вкупе с распространением сервисов «пробива», добыть эту информацию сегодня можно быстро и весьма дёшево. Кроме того, в доработке нуждается регламент смены данных в аккаунте клиента: если смена произошла, клиенту как минимум должны высылаться соответствующие уведомления на старые адреса.

Какой вывод можно сделать из истории? С описанной проблемой могут столкнуться любые другие сервисы, которые используют для идентификации только номер телефона клиента. Если он указан на накладной, его знает как минимум покупатель и сотрудники самой службы. Хотя последние и подписывают соглашения о неразглашении тайны и персданных клиентов, это не гарантирует, что инсайдер не воспользуется имеющейся информацией. Учитывая, насколько доступными сейчас становятся криминальные технологии (вспомним недавнюю историю про ТГ-бота), это большая проблема. Поэтому компании должны работать над более надежными способами идентификации клиентов, чтобы не создавать «дыр» в безопасности и искушения для злоумышленников, где бы они ни находились.

44
10 комментариев

Как и на некоторых других сервисах можно сделать блокировку операций на аккаунте на определенное время, в случае каких либо изменений в данных пользователя. В данном случае это изменение телефонного номера.

1

Кажется, в этом случае речь все-таки не про изменение номера, к которому привязан аккаунт, в условных настройках профиля, а в том, что кто-то позвонил с подменой номера с "левого" на "легитимный" (читай, привязанный к аккаунту владельцем). Но это не точно.

А почему в Оффтоп? Запись так никто не увидит.
Надо чтобы этот прецедент получил широкую известность, так как товарищ в оригинальной статье на пикабу рассказал что Авито ему ничего не компенсировал и чуть ли не обвиняет его самого в том, что он потерял денежные средства.
А это 119к, на минуту.

1

спасибо за рекомендацию. 

Первоисточник с Пикабу было бы ещё неплохо указать 🤔

спасибо, поставили! 

возможность указать ЛЮБОЙ номер при ip-звонке существует столько же сколько IP-телефония

если я правильно понял, мошенники позвонили с подменой номера в Авито, который идентифицировал их по этому подменённому номеру и перевёл деньги на указанный мошенниками счёт

во всех банках при звонке с мобильного нужно ввести некую инфу о себе, плюс на твой номер посылается SMS с паролем. Авито нужно разобраться со своей ИБ, которая должна следить за банковскими практиками, раз уж Авито ворочает деньгами клиентов