Клиент «Авито» обнаружил, что используя технологию подмены номера телефона, мошенники могли получить доступ к аккаунту пользователя при продаже товаров через «Авито Доставку» и вывести деньги. В компании уже изменили систему идентификации на более надежную, но ее история – другим пример.
В декабре 2020 года пользователь «Авито» продал товар за 119 тыс. руб. Товар передали Boxberry, а когда покупатель получил его, на счет продавца должна была поступить оплата. Но в этот момент аккаунт взломали. После восстановления доступа оказалось, что все данные сменены, а денег на счету уже нет. Об истории продавец рассказал на Pikabu. Начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд прокомментировал ее для «Коммерсанта» – газета разобралась в проблеме.
По версии пострадавшего, взлом произошел из-за того, что в накладной Boxberry был указан его номер телефона. Дело в том, что для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю «Авито», в службу поддержки компании. Получается, что мошенник, обладающий данными из накладной, мог позвонить в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту, предполагал продавец.
И действительно, в «Авито» подтвердили, что подделывая номера, злоумышленники могут выдать себя за клиента при обращении в службу поддержки. И уже поменяли правила для операторов, теперь они запрашивают дополнительные данные, пишет издание.
Но что это за данные? Если, к примеру, это номер паспорта – то проблема не решена. В результате многочисленных утечек данных россиян, вкупе с распространением сервисов «пробива», добыть эту информацию сегодня можно быстро и весьма дёшево. Кроме того, в доработке нуждается регламент смены данных в аккаунте клиента: если смена произошла, клиенту как минимум должны высылаться соответствующие уведомления на старые адреса.
Какой вывод можно сделать из истории? С описанной проблемой могут столкнуться любые другие сервисы, которые используют для идентификации только номер телефона клиента. Если он указан на накладной, его знает как минимум покупатель и сотрудники самой службы. Хотя последние и подписывают соглашения о неразглашении тайны и персданных клиентов, это не гарантирует, что инсайдер не воспользуется имеющейся информацией. Учитывая, насколько доступными сейчас становятся криминальные технологии (вспомним недавнюю историю про ТГ-бота), это большая проблема. Поэтому компании должны работать над более надежными способами идентификации клиентов, чтобы не создавать «дыр» в безопасности и искушения для злоумышленников, где бы они ни находились.
Как и на некоторых других сервисах можно сделать блокировку операций на аккаунте на определенное время, в случае каких либо изменений в данных пользователя. В данном случае это изменение телефонного номера.
Кажется, в этом случае речь все-таки не про изменение номера, к которому привязан аккаунт, в условных настройках профиля, а в том, что кто-то позвонил с подменой номера с "левого" на "легитимный" (читай, привязанный к аккаунту владельцем). Но это не точно.
А почему в Оффтоп? Запись так никто не увидит.
Надо чтобы этот прецедент получил широкую известность, так как товарищ в оригинальной статье на пикабу рассказал что Авито ему ничего не компенсировал и чуть ли не обвиняет его самого в том, что он потерял денежные средства.
А это 119к, на минуту.
спасибо за рекомендацию.
Первоисточник с Пикабу было бы ещё неплохо указать 🤔
спасибо, поставили!
а вот и финал истории https://pikabu.ru/story/final_istorii__kak_poteryat_119_000_na_bezopasnoy_sdelke_avitodostavka_8013497
возможность указать ЛЮБОЙ номер при ip-звонке существует столько же сколько IP-телефония
если я правильно понял, мошенники позвонили с подменой номера в Авито, который идентифицировал их по этому подменённому номеру и перевёл деньги на указанный мошенниками счёт
во всех банках при звонке с мобильного нужно ввести некую инфу о себе, плюс на твой номер посылается SMS с паролем. Авито нужно разобраться со своей ИБ, которая должна следить за банковскими практиками, раз уж Авито ворочает деньгами клиентов
Компания сообщила, что изменила систему идентификации.
Авторизация по телефону - ужасный ужас сама по себе