Взломали озон аккаунт, отменили заказы, и тут же вывели ~44т.р. с озон банка.
Коротко: проблемы с безопасностью аккаунтов, судя по всему присутствуют дыры\баги, с помощью которых можно войти в аккаунт без подтверждения по номеру телефона.
Коротко: проблемы с безопасностью аккаунтов, судя по всему присутствуют дыры\баги, с помощью которых можно войти в аккаунт без подтверждения по номеру телефона.
скорее всего дыра связана со входом через госуслуги. предполагаю, что когда пользователь входит через возможность госуслуг то озон, чтобы понять кто это запрашивает номер телефоне указанный в госуслугах и злоумышленник каким то образом подсовывает озону ваш номер. т.е. госуслуги его(или украденные), а телефон ваш
Да, я тоже склоняюсь к какой-то такой схеме, но я не знаю деталей таких атак, а утверждать что-то, пока мне не ответит СБ и не даст какие-то коментарии - сложно.
Мне искренне нравится сервис, но как безопасник - после таких инцидентов пользоваться им - это стрелять себе в ногу.
Опять же, независимо от того, какая именно дыра была использована - меня, уже как конечного потребителя это тоже мало волновать должно. У меня вопросы скорей к самому озону и его готовности нести ответственность за дыры в безопаности, либо готовность обосновать мою неправоту и ответить на конструктивную критику к этим обоснованиям. Со своей стороны "расследование" я провел и все известные мне векторы - отметены. А вот к системам безопасности озона - вопросы растут как грибочки