O usuário Avito descobriu uma vulnerabilidade no serviço de anúncios que permite que golpistas roubem dinheiro se passando por vendedores. O serviço identificou os invasores como proprietários da conta devido à falsificação do número de telefone e, em seguida, forneceu a eles acesso total à conta. Por causa disso, um dos usuários perdeu 119 mil rublos.
O vendedor usou o Avito delivery para vender um conjunto de painéis de graduação de cores. O parceiro de serviço foi a Boxberry, que concluiu o pedido de correio. Após a notificação de entrega, o usuário tentou fazer o login em sua conta para verificar o dinheiro contido, mas não foi possível. Após restaurar o acesso, ele percebeu que os dados da conta foram alterados, mas não havia dinheiro na conta.
O motivo do hack foi o sistema de identificação muito simples. Descobriu-se que o invasor obteve acesso à conta por meio do suporte da Avito ligando de um número de terceiros com uma ID falsa que repetia os números do proprietário original. Depois de identificá-lo como o proprietário, o funcionário de suporte concordou em alterar seu endereço de e-mail. A vítima sugeriu que o fraudador descobriu o número da fatura do Boxberry onde foi impressa.
Em uma conversa com o Kommersant, os representantes da Avito confirmaram que os golpistas poderiam se passar pelo proprietário da conta alterando o número de telefone. A empresa disse ainda que já corrigiu o problema – agora o serviço pede dados adicionais. Quais não são especificados.
Ekaterina Konovalova, chefe do departamento de Cartas e Pacotes da Boxberry, observou que em um futuro próximo essa vulnerabilidade também será eliminada – apenas o número da fatura será indicado nos papéis. Ela reconheceu que vários funcionários da empresa têm acesso aos dados, mas eles assinam um compromisso de não divulgação.
Mikhail Kondrashin, CTO da Trend Micro na Rússia e na CIS, ressaltou que a assinatura das obrigações não exclui a possível conivência de funcionários que tiveram acesso à fatura com malfeitores. O especialista da Kaspersky Lab, Sergey Golovanov, disse que o vazamento pode ter ocorrido em qualquer estágio do trabalho, incluindo o vendedor, a plataforma de vendas, o serviço de entrega e o comprador.
As placas de vídeo GeForce falsificadas estão se espalhando ativamente nos mercados chineses há algum…
A Samsung atualizou o aplicativo da web Try Galaxy para funcionar com os navegadores Safari…
A Ampere Computing e a NVIDIA anunciaram a expansão da plataforma de streaming de jogos…
A Academia Britânica de Artes Cinematográficas e Televisivas na noite de 30 de março, como…
A Colorful apresentou a placa de vídeo GeForce RTX 4090 iGame LAB. A novidade foi…
O juiz indeferiu o processo alegando que as ações da plataforma de mídia social da…