В сервисе «Авито» обнаружена новая уязвимость, пишет «Коммерсант». Используя технологию подмены номера телефона, мошенники могли получить доступ к аккаунту пользователя при продаже товаров через «Авито Доставку» и вывести деньги. Проблему в системе идентификации клиентов сервиса обнаружил пользователь Pikabu. Он продал на «Авито» товар за 119 тыс. рублей, его передали Boxberry, а когда покупатель получил купленное, на счет продавца должна была поступить оплата. Но в этот момент аккаунт взломали, после восстановления доступа оказалось, что все данные сменены, а денег на счету уже нет. По версии пострадавшего, взлом произошел из-за того, что в накладной Boxberry был указан его номер телефона.
Для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю «Авито», в службу поддержки компании. Мошенник, обладающий данными из накладной, мог позвонить в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту, полагает пострадавший.
Подделывая номера, злоумышленники могут выдать себя за клиента при обращении в службу поддержки, подтвердили в «Авито». Там сообщили, что уже решили проблему, поменяв правила для операторов. Теперь при обращениях клиентов по телефону они запрашивают дополнительные данные.
Источник: www.banki.ru