Foi revelado como os invasores roubaram dinheiro das contas pessoais dos usuários do Avito

O usuário Avito descobriu uma vulnerabilidade no serviço de anúncios que permite que golpistas roubem dinheiro se passando por vendedores. O serviço identificou os invasores como proprietários da conta devido à falsificação do número de telefone e, em seguida, forneceu a eles acesso total à conta. Por causa disso, um dos usuários perdeu 119 mil rublos.

Vladimir Astapkovich, RIA Novosti

O vendedor usou o Avito delivery para vender um conjunto de painéis de graduação de cores. O parceiro de serviço foi a Boxberry, que concluiu o pedido de correio. Após a notificação de entrega, o usuário tentou fazer o login em sua conta para verificar o dinheiro contido, mas não foi possível. Após restaurar o acesso, ele percebeu que os dados da conta foram alterados, mas não havia dinheiro na conta.

O motivo do hack foi o sistema de identificação muito simples. Descobriu-se que o invasor obteve acesso à conta por meio do suporte da Avito ligando de um número de terceiros com uma ID falsa que repetia os números do proprietário original. Depois de identificá-lo como o proprietário, o funcionário de suporte concordou em alterar seu endereço de e-mail. A vítima sugeriu que o fraudador descobriu o número da fatura do Boxberry onde foi impressa.

Esconde-esconde

Em uma conversa com o Kommersant, os representantes da Avito confirmaram que os golpistas poderiam se passar pelo proprietário da conta alterando o número de telefone. A empresa disse ainda que já corrigiu o problema – agora o serviço pede dados adicionais. Quais não são especificados.

Ekaterina Konovalova, chefe do departamento de Cartas e Pacotes da Boxberry, observou que em um futuro próximo essa vulnerabilidade também será eliminada – apenas o número da fatura será indicado nos papéis. Ela reconheceu que vários funcionários da empresa têm acesso aos dados, mas eles assinam um compromisso de não divulgação.

Mikhail Kondrashin, CTO da Trend Micro na Rússia e na CIS, ressaltou que a assinatura das obrigações não exclui a possível conivência de funcionários que tiveram acesso à fatura com malfeitores. O especialista da Kaspersky Lab, Sergey Golovanov, disse que o vazamento pode ter ocorrido em qualquer estágio do trabalho, incluindo o vendedor, a plataforma de vendas, o serviço de entrega e o comprador.