O usuário Avito descobriu uma vulnerabilidade no serviço de anúncios que permite que golpistas roubem dinheiro se passando por vendedores. O serviço identificou os invasores como proprietários da conta devido à falsificação do número de telefone e, em seguida, forneceu a eles acesso total à conta. Por causa disso, um dos usuários perdeu 119 mil rublos.
Vladimir Astapkovich, RIA Novosti
O vendedor usou o Avito delivery para vender um conjunto de painéis de graduação de cores. O parceiro de serviço foi a Boxberry, que concluiu o pedido de correio. Após a notificação de entrega, o usuário tentou fazer o login em sua conta para verificar o dinheiro contido, mas não foi possível. Após restaurar o acesso, ele percebeu que os dados da conta foram alterados, mas não havia dinheiro na conta.
O motivo do hack foi o sistema de identificação muito simples. Descobriu-se que o invasor obteve acesso à conta por meio do suporte da Avito ligando de um número de terceiros com uma ID falsa que repetia os números do proprietário original. Depois de identificá-lo como o proprietário, o funcionário de suporte concordou em alterar seu endereço de e-mail. A vítima sugeriu que o fraudador descobriu o número da fatura do Boxberry onde foi impressa.
Esconde-esconde
Em uma conversa com o Kommersant, os representantes da Avito confirmaram que os golpistas poderiam se passar pelo proprietário da conta alterando o número de telefone. A empresa disse ainda que já corrigiu o problema – agora o serviço pede dados adicionais. Quais não são especificados.
Ekaterina Konovalova, chefe do departamento de Cartas e Pacotes da Boxberry, observou que em um futuro próximo essa vulnerabilidade também será eliminada – apenas o número da fatura será indicado nos papéis. Ela reconheceu que vários funcionários da empresa têm acesso aos dados, mas eles assinam um compromisso de não divulgação.
Mikhail Kondrashin, CTO da Trend Micro na Rússia e na CIS, ressaltou que a assinatura das obrigações não exclui a possível conivência de funcionários que tiveram acesso à fatura com malfeitores. O especialista da Kaspersky Lab, Sergey Golovanov, disse que o vazamento pode ter ocorrido em qualquer estágio do trabalho, incluindo o vendedor, a plataforma de vendas, o serviço de entrega e o comprador.
O boom da IA está impulsionando os preços dos componentes semicondutores, resultando em um crescimento…
A xAI entrou oficialmente no mercado de serviços de IA para usuários corporativos. No final…
É impossível atender a todas as necessidades da indústria de transportes apenas com quadricópteros, por…
Uma análise dos anúncios da Black Friday nos EUA ao longo do último quarto de…
Os scanners litográficos estão longe de ser o único equipamento necessário para a produção de…
A sequência lançada no outono passado, Vampire: The Masquerade — Bloodlines, decepcionou os fãs do…