Jedes Mal, wenn ich darauf stoße, frage ich mich immer wieder, wie es möglich ist, dass ein großes Unternehmen solche Sicherheitslücken hat.
Wenn Sie der Meinung sind, dass der Verkauf von etwas mit Avito-Lieferung Ihr Geld nicht gestohlen werden kann, irren Sie sich im Allgemeinen.
Es stellte sich als phänomenal heraus: Avito kann seine E-Mail-Adresse telefonisch ändern. Sie müssen lediglich von der verknüpften Nummer aus anrufen und Ihnen mitteilen, dass Sie Ihre E-Mail-Adresse ändern möchten.
Ich habe vor drei Jahren über die technische Möglichkeit geschrieben, die Nummer bei einem Anruf zu ändern (https://ammo1.livejournal.com/996419.html ). Nach der Geschichte mit Navalny wusste jeder von einer solchen Gelegenheit, außer Avitos Unterstützung.
Jeder kleine Gauner kann die Spoofing-Anwendung für Telefonnummern verwenden und die E-Mail-Adresse in Ihrem Avito-Konto ändern. Nachdem er die E-Mail-Adresse geändert hat, kann er das Kennwort mithilfe der Kennwortwiederherstellungsfunktion ändern. Gleichzeitig werden keine Benachrichtigungen an die alte (echte) E-Mail gesendet.
Beim Versand von Waren per Avito-Lieferung muss die dem Avito-Konto zugeordnete Telefonnummer des Verkäufers auf dem Paketetikett angegeben werden. Diese Nummer kann von vielen Personen gesehen werden, vom Empfänger am Boxberry-Punkt oder bei der russischen Post und endet mit jedem, der an der Zustellung teilnimmt. In jedem Stadium reicht es aus, ein Foto des Pakets aufzunehmen, um eine Telefonnummer zu erhalten. Und dann ist alles einfach: Sie ändern die E-Mail sofort, warten, bis der Käufer das Paket abgeholt hat, ändern sofort das Passwort, gehen auf das Konto und ziehen das Geld auf ihre Karte ab.
Die Tatsache, dass Personen aus einem anderen Land in ihrem Konto angemeldet sind, stört Avito überhaupt nicht, aber eine solche Warnung wird an die E-Mail-Adresse eines anderen gesendet.
Avito kümmert sich auch überhaupt nicht darum, dass alle Manipulationen mit dem Konto zum Zeitpunkt der Auslieferung von Avito erfolgen.
Mit diesem einfachen Schema haben die Angreifer 119.000 Rubel für nur eine Lieferung gestohlen, aber diese Geschichte ist sicherlich nicht einzigartig.
Das Opfer führte seine eigenen Ermittlungen durch und beschrieb die ganze Geschichte im Detail Hier .
Ich würde sehr hoffen, dass Avito diese Situation berücksichtigt und zumindest eine Benachrichtigung zur alten E-Mail hinzufügt, wenn versucht wird, die E-Mail per Telefon zu ändern, und diese Aktion per SMS bestätigt.
Und es ist auch richtig, wenn Avito alle Verluste erstattet, die durch die Sicherheitslücke im "Avito-Delivery Safe Deal" entstanden sind.
© 2021, Alexey Nadyozhin
Seit zehn Jahren schreibe ich jeden Tag über Technologie, Rabatte, Sehenswürdigkeiten und Veranstaltungen. Lesen Sie meinen Blog auf der Website ammo1.ru, im LJ, Zen, Mirtesen, Telegramm .
Meine Projekte:
Lamptest.ru. Ich teste LED-Lampen und helfe herauszufinden, welche gut und welche nicht so gut sind.
Elerus.ru. Ich sammle Informationen über inländische elektronische Geräte für den persönlichen Gebrauch und teile sie.
Sie können mich in Telegramm kontaktieren @ ammo1 und per Post [email protected] .