Chaque fois que je rencontre cela, je ne cesse de me demander comment il est possible qu'une grande entreprise puisse avoir de telles failles de sécurité.
En général, si vous pensez que vendre quelque chose avec la livraison Avito, votre argent ne peut pas être volé, vous vous trompez.
Cela s'est avéré phénoménal: Avito a la possibilité de changer son adresse e-mail par téléphone. Il vous suffit d'appeler à partir du numéro associé et de vous informer que vous souhaitez modifier votre adresse e-mail.
J'ai écrit sur la possibilité technique de changer le numéro lors d'un appel il y a trois ans (https://ammo1.livejournal.com/996419.html ). Après l'histoire avec Navalny, tout le monde était au courant d'une telle opportunité, à l'exception du soutien d'Avito.
Tout petit escroc peut utiliser l'application d'usurpation de numéro de téléphone et modifier l'e-mail de votre compte Avito. Et après avoir changé l'email, il pourra changer le mot de passe en utilisant la fonction de récupération de mot de passe. Dans le même temps, aucune notification n'est envoyée à l'ancien (réel) e-mail.
Lors de l'envoi de marchandises par livraison Avito, le numéro de téléphone du vendeur associé au compte Avito doit être indiqué sur l'étiquette du colis. Ce numéro peut être vu par de nombreuses personnes, du destinataire au point Boxberry ou à la poste russe et se terminant par toutes les personnes qui participent à la livraison. À tout moment, il suffit de prendre une photo du colis pour obtenir un numéro de téléphone. Et puis tout est simple: ils changent immédiatement l'e-mail, attendent que l'acheteur récupère le colis, changent immédiatement le mot de passe, se rendent sur le compte et retirent l'argent sur leur carte.
Le fait que des personnes soient connectées à leur compte depuis un autre pays ne dérange pas du tout Avito, mais un tel avertissement arrive dans l'e-mail de quelqu'un d'autre.
Avito ne dérange pas du tout que toutes les manipulations avec le compte se produisent au moment où Avito est livré.
En utilisant ce schéma simple, les attaquants ont volé 119000 roubles pour une seule livraison, mais cette histoire n'est certainement pas unique.
La victime a mené sa propre enquête et a décrit toute l'histoire en détail ici .
J'espère vivement qu'Avito fera attention à cette situation et ajoutera au moins une notification à l'ancien e-mail lors de la tentative de modification de l'e-mail par téléphone, et confirmera cette action par SMS.
Et il sera également correct si Avito rembourse toutes les pertes subies par la faille de sécurité dans le "Avito-Delivery Safe Deal".
© 2021, Alexey Nadyozhin
Depuis dix ans, j'écris tous les jours sur la technologie, les réductions, les lieux d'intérêt et les événements. Lisez mon blog sur le site ammo1.ru, dans LJ, Zen, Mirtesen, Télégramme .
Mes projets:
Lamptest.ru. Je teste les lampes LED et aide à déterminer lesquelles sont bonnes et lesquelles ne le sont pas.
Elerus.ru. Je recueille des informations sur les appareils électroniques domestiques à des fins personnelles et je les partage.
Vous pouvez me contacter dans Telegram @ munitions1 et par courrier [email protected] .