«Дырявый» кошелек Avito

Еще в декабре прошлого года стало известно о серьёзной проблеме в организации работы одного из крупнейших российских интернет-сервисов для продажи товаров, услугах частных лиц и компаний, вакансиях и резюме на рынке труда.

В частности, выяснилось, что любой злоумышленник может выдать себя за продавца и получить доступ к кошельку ничего не подозревающего добропорядочного клиента интернет-сервиса. Проблемы выявились в одном из подразделении торговой площадки – Avito.Доставка.

Как оказалось, чтобы войти в аккаунт любого пользователя достаточно просто знать номер телефона, который к нему прикреплен. После того, как заветный номер стал достоянием мошенника, ему только остается позвонить в службу поддержки и «восстановить» пароль доступа.

Главной уязвимостью в Avito оказалась именно служба технической поддержки, которой, чтобы сообщить конфиденциальную информацию злоумышленнику достаточно было просто позвонить с привязанного номера.

А при современном развитии технологий, подделать любой входящий номер не составляет большого труда.

Еще одной проблемой является собственно наличие номера телефона продавца в товарной накладной. То есть, мошенники могут получить необходимые ему данные сразу из двух источников. Во-первых, это курьер, который получает товар от продавца вместе с товарной накладной, и, во-вторых, сам конечный получатель посылки, который вместе с накладной становится обладателем нужного набора цифр.

Реакция Avito

Реакция сервиса на проблему последовала незамедлительно. По словам пресс-службы организации были внесены изменения в работу торговой площадки. В частности, идентификация пользователя теперь проводится не только по номеру мобильного телефона, но и с использованием других персональных данных.

Еще одним способом обезопасить потенциального клиента от мошеннических действий стал отказ от указания номера телефона продавца на товарной накладной.

Эксперты утверждают, что преступления с использованием подмены номера мобильного телефона становятся чуть ли не самыми популярным. С помощью этой технологии можно, под видом представителя финансовой организации,  выведать нужную информацию.

Более того, большинство сервисов проводят идентификацию только по персональному телефонному номеру. И это становится все большей проблемой для клиентов таких интернет-площадок.

Во всем мире уже давно для этих целей используется идентификация по устройству или электронной генерации кода.