- Работать исключительно через ГАРАНТ.
В сервисе «Авито» обнаружена новая уязвимость. Используя технологию подмены номера телефона, мошенники могли получить доступ к аккаунту пользователя при продаже товаров через «Авито Доставку» и вывести деньги. В компании утверждают, что уже запрашивают для идентификации клиентов дополнительные данные. Но с такой проблемой могут столкнуться и другие сервисы, которые используют для идентификации только номер телефона клиента, предупреждают эксперты, отмечая необходимость внедрения более продвинутых технологий.
Проблему в системе идентификации клиентов «Авито», которая позволяла мошенникам получать доступ к аккаунтам пользователей и выводить деньги за товары, проданные через сервис «Авито Доставка», обнаружил пользователь Pikabu.
В декабре 2020 года он продал на «Авито» товар за 119 тыс. руб. Товар передали Boxberry, а когда покупатель получил его, на счет продавца должна была поступить оплата. Но в этот момент аккаунт взломали. После восстановления доступа оказалось, что все данные сменены, а денег на счету уже нет.
По версии пострадавшего, взлом произошел из-за того, что в накладной Boxberry был указан его номер телефона.
Дело в том, что для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю «Авито», в службу поддержки компании. Получается, что мошенник, обладающий данными из накладной, мог позвонить в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту, полагает пользователь Pikabu.
Подделывая номера, злоумышленники могут выдать себя за клиента при обращении в службу поддержки, подтвердили “Ъ” в «Авито». Там заверили, что уже решили проблему, поменяв правила для операторов. Теперь при обращениях клиентов по телефону они запрашивают дополнительные данные.
Как именно мошенники получили номер, доподлинно неизвестно. Информация в накладной посылки видна отправителю и получателю, покупатель знает номер отправления и номер телефона продавца, поясняет руководитель направления «Письма и посылки» Boxberry Екатерина Коновалова. Но, по ее словам, компания уже работает над устранением уязвимости — «в ближайшее время покупатель будет получать только номер накладной».
Госпожа Коновалова признает, что доступ к данным о посылках есть и у «некоторых сотрудников Boxberry». Однако, подчеркивает топ-менеджер, они несут материальную ответственность и подписывают обязательство о неразглашении персональных данных клиентов и коммерческой тайны.
Эксперты, впрочем, подчеркивают, что это не защищает от злоупотреблений. Сотрудники Boxberry, имеющие доступ к накладной, могли вступить в сговор со злоумышленниками, знающими об уязвимости «Авито», полагает технический директор Trend Micro в России и СНГ Михаил Кондрашин. Об отправке посылки на крупную сумму знали покупатель, продавец, площадка продажи и сервис доставки, уточняет ведущий эксперт «Лаборатории Касперского» Сергей Голованов. По его мнению, утечка могла произойти на любом этапе.
Проблема может быть и из-за дыры в системе, полагает глава отдела информационной безопасности «СерчИнформ» Алексей Дрозд. Но корень проблемы, по его мнению, лежит в том, что «Авито» идентифицирует пользователей по звонку в службу поддержки. В доработке нуждается регламент смены данных в аккаунте клиента, полагает он.
Число мошенничеств с использованием подмены номера продолжает расти. В июне 2020 года на это, например, жаловались клиенты МТС-банка, сообщал РБК. По данным ЦБ, 80% злоумышленников, звонящих якобы от лица финансовых организаций, используют подмену номеров. И применять технологию становится все проще. Например, в мессенджере Telegram появился бот, который позволяет подменять номера исходящих вызовов и изменять голос ( ).
Практически во всех российских сервисах номер мобильного телефона выступает основным средством идентификации пользователя, отмечает гендиректор Национальной инжиниринговой корпорации Игорь Бедеров.
По словам эксперта, подделав номер телефона человека, можно получить доступ к его электронной почте, социальным сетям, платежным системам и даже детализации его переговоров и перемещений. Крупные западные IT-компании, подчеркивает господин Бедеров, давно используют более надежные методы идентификации: по устройству или электронной генерации кода.
Проблему в системе идентификации клиентов «Авито», которая позволяла мошенникам получать доступ к аккаунтам пользователей и выводить деньги за товары, проданные через сервис «Авито Доставка», обнаружил пользователь Pikabu.
В декабре 2020 года он продал на «Авито» товар за 119 тыс. руб. Товар передали Boxberry, а когда покупатель получил его, на счет продавца должна была поступить оплата. Но в этот момент аккаунт взломали. После восстановления доступа оказалось, что все данные сменены, а денег на счету уже нет.
По версии пострадавшего, взлом произошел из-за того, что в накладной Boxberry был указан его номер телефона.
Дело в том, что для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю «Авито», в службу поддержки компании. Получается, что мошенник, обладающий данными из накладной, мог позвонить в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту, полагает пользователь Pikabu.
Подделывая номера, злоумышленники могут выдать себя за клиента при обращении в службу поддержки, подтвердили “Ъ” в «Авито». Там заверили, что уже решили проблему, поменяв правила для операторов. Теперь при обращениях клиентов по телефону они запрашивают дополнительные данные.
Как именно мошенники получили номер, доподлинно неизвестно. Информация в накладной посылки видна отправителю и получателю, покупатель знает номер отправления и номер телефона продавца, поясняет руководитель направления «Письма и посылки» Boxberry Екатерина Коновалова. Но, по ее словам, компания уже работает над устранением уязвимости — «в ближайшее время покупатель будет получать только номер накладной».
Госпожа Коновалова признает, что доступ к данным о посылках есть и у «некоторых сотрудников Boxberry». Однако, подчеркивает топ-менеджер, они несут материальную ответственность и подписывают обязательство о неразглашении персональных данных клиентов и коммерческой тайны.
Эксперты, впрочем, подчеркивают, что это не защищает от злоупотреблений. Сотрудники Boxberry, имеющие доступ к накладной, могли вступить в сговор со злоумышленниками, знающими об уязвимости «Авито», полагает технический директор Trend Micro в России и СНГ Михаил Кондрашин. Об отправке посылки на крупную сумму знали покупатель, продавец, площадка продажи и сервис доставки, уточняет ведущий эксперт «Лаборатории Касперского» Сергей Голованов. По его мнению, утечка могла произойти на любом этапе.
Проблема может быть и из-за дыры в системе, полагает глава отдела информационной безопасности «СерчИнформ» Алексей Дрозд. Но корень проблемы, по его мнению, лежит в том, что «Авито» идентифицирует пользователей по звонку в службу поддержки. В доработке нуждается регламент смены данных в аккаунте клиента, полагает он.
Число мошенничеств с использованием подмены номера продолжает расти. В июне 2020 года на это, например, жаловались клиенты МТС-банка, сообщал РБК. По данным ЦБ, 80% злоумышленников, звонящих якобы от лица финансовых организаций, используют подмену номеров. И применять технологию становится все проще. Например, в мессенджере Telegram появился бот, который позволяет подменять номера исходящих вызовов и изменять голос ( ).
Практически во всех российских сервисах номер мобильного телефона выступает основным средством идентификации пользователя, отмечает гендиректор Национальной инжиниринговой корпорации Игорь Бедеров.
По словам эксперта, подделав номер телефона человека, можно получить доступ к его электронной почте, социальным сетям, платежным системам и даже детализации его переговоров и перемещений. Крупные западные IT-компании, подчеркивает господин Бедеров, давно используют более надежные методы идентификации: по устройству или электронной генерации кода.
