Cada vez que me encuentro con esto, nunca dejo de preguntarme cómo es posible que una gran empresa pueda tener TALES agujeros de seguridad.
En general, si crees que vendiendo algo con entrega Avito, no te pueden robar el dinero, estás equivocado.
Resultó fenomenal: Avito tiene la capacidad de cambiar su dirección de correo electrónico por teléfono. Todo lo que necesita hacer es llamar desde el número vinculado e informarle que desea cambiar su correo electrónico.
Escribí sobre la posibilidad técnica de cambiar el número al hacer una llamada hace tres años (https://ammo1.livejournal.com/996419.html ). Después de la historia con Navalny, todos conocieron esa oportunidad, excepto el apoyo de Avito.
Cualquier delincuente mezquino puede usar la aplicación de suplantación de número de teléfono y cambiar el correo electrónico en su cuenta de Avito. Y habiendo cambiado el correo electrónico, podrá cambiar la contraseña utilizando la función de recuperación de contraseña. Al mismo tiempo, no se envían notificaciones al correo electrónico antiguo (real).
Al enviar mercancías mediante entrega de Avito, el número de teléfono del vendedor asociado con la cuenta de Avito debe indicarse en la etiqueta del paquete. Este número puede ser visto por muchas personas, desde el destinatario en el punto de Boxberry o en la oficina de correos de Rusia hasta todos los que participan en la entrega. En cualquier momento, basta con tomar una foto del paquete para obtener un número de teléfono. Y luego todo es simple: cambian el correo electrónico de inmediato, esperan a que el comprador recoja el paquete, cambian inmediatamente la contraseña, ingresan a la cuenta y retiran el dinero a su tarjeta.
El hecho de que las personas hayan iniciado sesión en su cuenta desde otro país no molesta en absoluto a Avito, pero esa advertencia llega al correo electrónico de otra persona.
A Avito tampoco le molesta en absoluto que todas las manipulaciones con la cuenta ocurran en el momento en que se entrega Avito.
Usando esta simple maquinación, los atacantes robaron 119,000 rublos por una sola entrega, pero esta historia ciertamente no es única.
La víctima, realizó su propia investigación y describió toda la historia en detalle. aquí .
Me gustaría mucho esperar que Avito preste atención a esta situación y al menos agregue una notificación al correo electrónico anterior cuando intente cambiar el correo electrónico por teléfono, y confirme esta acción por SMS.
Y también será correcto si Avito reembolsa todas las pérdidas sufridas por el agujero de seguridad en el "Avito-Delivery Safe Deal".
© 2021, Alexey Nadezhin
Durante diez años he estado escribiendo todos los días sobre tecnología, descuentos, lugares de interés y eventos. Leer mi blog en el sitio ammo1.ru, en LJ, zen, Mirtesen, Telegrama .
Mis proyectos:
Lamptest.ru. Pruebo lámparas LED y ayudo a descubrir cuáles son buenas y cuáles no.
Elerus.ru. Recopilo información sobre dispositivos electrónicos domésticos para uso personal y la comparto.
Puedes contactarme en Telegram @ ammo1 y por correo [email protected] .