Elke keer dat ik dit tegenkom, blijf ik me afvragen hoe het mogelijk is dat een groot bedrijf DERGELIJKE beveiligingslekken heeft.
Over het algemeen vergist u zich als u denkt dat het verkopen van iets met Avito-bezorging uw geld niet kan worden gestolen.
Het bleek fenomenaal: Avito heeft de mogelijkheid om zijn e-mailadres telefonisch te wijzigen. Het enige dat u hoeft te doen, is bellen vanaf het gekoppelde nummer en u laten weten dat u uw e-mailadres wilt wijzigen.
Ik schreef drie jaar geleden over de technische mogelijkheid om het nummer te wijzigen bij het plaatsen van een oproep (https://ammo1.livejournal.com/996419.html ). Na het verhaal met Navalny wist iedereen van zo'n kans, behalve de steun van Avito.
Elke kleine boef kan de spoofing-applicatie voor telefoonnummers gebruiken en de e-mail in uw Avito-account wijzigen. En nadat hij de e-mail heeft gewijzigd, kan hij het wachtwoord wijzigen met de functie voor wachtwoordherstel. Tegelijkertijd worden er geen notificaties naar de oude (echte) e-mail gestuurd.
Bij het verzenden van goederen via Avito-bezorging, moet het telefoonnummer van de verkoper dat is gekoppeld aan het Avito-account worden vermeld op het pakketlabel. Dit nummer is voor veel mensen te zien, van de ontvanger op het Boxberry-punt of bij het Russische postkantoor en eindigend met iedereen die meedoet aan de bezorging. In elk stadium is het voldoende om één foto van het pakket te maken om een telefoonnummer te krijgen. En dan is alles eenvoudig: ze veranderen de e-mail onmiddellijk, wachten tot de koper het pakket ophaalt, veranderen onmiddellijk het wachtwoord, gaan naar de rekening en halen het geld op hun kaart.
Het feit dat mensen vanuit een ander land op hun account zijn ingelogd, stoort Avito helemaal niet, maar zo'n waarschuwing komt in de e-mail van iemand anders.
Avito stoort ook helemaal niet dat alle manipulaties met het account plaatsvinden op het moment dat Avito wordt afgeleverd.
Met behulp van dit eenvoudige schema stalen de aanvallers 119.000 roebel voor slechts één levering, maar dit verhaal is zeker niet uniek.
Het slachtoffer voerde zijn eigen onderzoek uit en beschreef het hele verhaal tot in detail hier .
Ik zou heel graag willen dat Avito aandacht zal schenken aan deze situatie en op zijn minst een melding zal toevoegen aan de oude e-mail wanneer ik de e-mail per telefoon wil wijzigen, en deze actie per sms zal bevestigen.
En het zal ook kloppen als Avito alle verliezen vergoedt die zijn geleden door het beveiligingslek in de "Avito-Delivery Safe Deal".
© 2021, Alexey Nadezhin
Al tien jaar schrijf ik elke dag over techniek, kortingen, bezienswaardigheden en evenementen. Lees mijn blog op de site ammo1.ru, in LJ, Zen, Mirtesen, Telegram .
Mijn projecten:
Lamptest.ru. Ik test LED-lampen en help erachter te komen welke goed zijn en welke niet zo goed.
Elerus.ru. Ik verzamel informatie over huishoudelijke elektronische apparaten voor persoonlijk gebruik en deel deze.
U kunt contact met mij opnemen in Telegram @ munitie1 en per post [email protected] .