Мошенники с «Авито» научились воровать деньги «по звонку»
Уязвимость позволила мошенникам украсть у пользователя 119 000 рублей
Как сообщает «Коммерсантъ», в декабре пользователь Pikabu продал на «Авито» товар стоимостью 119 тысяч рублей через сервис «Авито Доставка». Услугу доставки товара обеспечивала компания Boxberry. После доставки на счет продавца должны были поступить деньги, но этого не случилось, потому что в этот момент аккаунт взломали и вывели с него деньги. Пострадавший считает, что это случилось потому, что в накладной Boxberry был указан его номер телефона.
Стало известно, что идентификация пользователя происходила только через звонок с номера, привязанного к аккаунту «Авито». Поэтому мошенники смогли с помощью технологии подмены номера смогли получить доступ к аккаунту пострадавшего.
В Boxberry отметили, что покупателям действительно известны номера телефонов продавцов. В компании уже работают над решением проблемы. В ближайшее время в накладных перестанут писать номера телефонов продавцов. В «Авито» заявили, что уже решили проблему, теперь сервис запрашивает дополнительную информацию для идентификации пользователя.
Эксперты отмечают, что во многих российских сервисах номер телефона является основным способом идентификации пользователя. Это означает, что злоумышленники могут получить доступ к персональным данным пользователям, просто подделав номер телефона.