![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Про дыру в Авито
ammo1 написал про случай с уводом аккаунта Авито и, соответственно, денег, которые должны были прийти продавцу после "безопасной" сделки через Авито:
https://ammo1.livejournal.com/1218780.html
Оригинальная история на пикабу
Вкратце суть проблемы:
- Мошенники отследили трек посылки дорогой посылки, отправленной через Авито-доставку (Авито получает деньги с покупателя и после доставки посылки пересылает их продавцу)
- Авито по входящему звонку с подмененным исходящим номером идентифицировало мошенников как владельца аккаунта и сменило адрес электронной почты в аккаунте.
- Далее мошенники дождались, когда можно будет получить деньги, сменили через уже свою почту пароль от аккаунта и номер телефона, подставили в форму свою карту и получили деньги от Авито.
- Продавцу не приходило никаких уведомления на старый емейл и телефон о смене реквизитов, техподдержка не давала никакой информации, он только случайно увидел запись о том, что было обращение в службу техподдержки.
Очевидно, что идентификация по номеру звонящего - это никакая не идентификация. И менять реквизиты по телефону - это я даже не знаю, как назвать. Допустим, человек забыл пароль и потерял доступ к электронной почте. Но ведь звонок идет с привязанного номера - значит, номер-то человек по-прежнему контролирует и может восстановить доступ к аккаунту и затем сменить адрес почты.
https://ammo1.livejournal.com/1218780.html
Оригинальная история на пикабу
Вкратце суть проблемы:
- Мошенники отследили трек посылки дорогой посылки, отправленной через Авито-доставку (Авито получает деньги с покупателя и после доставки посылки пересылает их продавцу)
- Авито по входящему звонку с подмененным исходящим номером идентифицировало мошенников как владельца аккаунта и сменило адрес электронной почты в аккаунте.
- Далее мошенники дождались, когда можно будет получить деньги, сменили через уже свою почту пароль от аккаунта и номер телефона, подставили в форму свою карту и получили деньги от Авито.
- Продавцу не приходило никаких уведомления на старый емейл и телефон о смене реквизитов, техподдержка не давала никакой информации, он только случайно увидел запись о том, что было обращение в службу техподдержки.
Очевидно, что идентификация по номеру звонящего - это никакая не идентификация. И менять реквизиты по телефону - это я даже не знаю, как назвать. Допустим, человек забыл пароль и потерял доступ к электронной почте. Но ведь звонок идет с привязанного номера - значит, номер-то человек по-прежнему контролирует и может восстановить доступ к аккаунту и затем сменить адрес почты.