Foi revelado como os invasores roubaram dinheiro das contas pessoais dos usuários do Avito

O usuário Avito descobriu uma vulnerabilidade no serviço de anúncios que permite que golpistas roubem dinheiro se passando por vendedores. O serviço identificou os invasores como proprietários da conta devido à falsificação do número de telefone e, em seguida, forneceu a eles acesso total à conta. Por causa disso, um dos usuários perdeu 119 mil rublos.

Vladimir Astapkovich, RIA Novosti

O vendedor usou o Avito delivery para vender um conjunto de painéis de graduação de cores. O parceiro de serviço foi a Boxberry, que concluiu o pedido de correio. Após a notificação de entrega, o usuário tentou fazer o login em sua conta para verificar o dinheiro contido, mas não foi possível. Após restaurar o acesso, ele percebeu que os dados da conta foram alterados, mas não havia dinheiro na conta.

O motivo do hack foi o sistema de identificação muito simples. Descobriu-se que o invasor obteve acesso à conta por meio do suporte da Avito ligando de um número de terceiros com uma ID falsa que repetia os números do proprietário original. Depois de identificá-lo como o proprietário, o funcionário de suporte concordou em alterar seu endereço de e-mail. A vítima sugeriu que o fraudador descobriu o número da fatura do Boxberry onde foi impressa.

Esconde-esconde

Em uma conversa com o Kommersant, os representantes da Avito confirmaram que os golpistas poderiam se passar pelo proprietário da conta alterando o número de telefone. A empresa disse ainda que já corrigiu o problema – agora o serviço pede dados adicionais. Quais não são especificados.

Ekaterina Konovalova, chefe do departamento de Cartas e Pacotes da Boxberry, observou que em um futuro próximo essa vulnerabilidade também será eliminada – apenas o número da fatura será indicado nos papéis. Ela reconheceu que vários funcionários da empresa têm acesso aos dados, mas eles assinam um compromisso de não divulgação.

Mikhail Kondrashin, CTO da Trend Micro na Rússia e na CIS, ressaltou que a assinatura das obrigações não exclui a possível conivência de funcionários que tiveram acesso à fatura com malfeitores. O especialista da Kaspersky Lab, Sergey Golovanov, disse que o vazamento pode ter ocorrido em qualquer estágio do trabalho, incluindo o vendedor, a plataforma de vendas, o serviço de entrega e o comprador.

avalanche

Postagens recentes

A Netflix Coreia vazou a data de lançamento de Cyberpunk: Edgerunners 2.

Assim que a gigante do streaming Netflix confirmou a data de lançamento da série de…

7 horas atrás

Contrariando a tendência: a Amazon aumentou em um terço a capacidade de RAM do seu tablet Fire HD 10.

O Fire HD 8, lançado em 2024, é a mais recente adição à linha de…

8 horas atrás

A Valve publicou instruções para criar um painel com tela E Ink para a Steam Machine.

A Valve liberou os arquivos do projeto Inkterface — um painel frontal faça-você-mesmo com tela…

8 horas atrás

Os desenvolvedores de Ghostrunner adorariam trabalhar em Ghostrunner 3, mas há um porém.

Em vez de um possível Ghostrunner 3, os desenvolvedores do estúdio polonês One More Level…

9 horas atrás

A Anthropic quer se tornar uma empresa farmacêutica – os medicamentos serão desenvolvidos por IA.

No evento "The Briefing: AI for Science", a Anthropic anunciou o Claude Science, um novo…

10 horas atrás