«Авито» решил проблему с позволявшей выводить деньги клиентов уязвимостью
Интернет-сервис «Авито» устранил недочет в своей системе, который позволял мошенникам выдавать себя за клиентов компании и получать доступ к их аккаунтам, используя технологию подмены номера. Об этом сервис сообщил «Коммерсанту».
Теперь сервис поменял правила для своих операторов. При обращениях клиентов по телефону они будут запрашивать дополнительные данные для установления личности.
О проблеме стало известно, как пишет газета, после жалобы продавца с «Авито». Он рассказал в социальной сети Pikabu, что продал через сервис товар на 119 тыс. руб. и не смог получить эти деньги. Товар передали службе доставки Boxberry, покупатель его забрал, после чего на аккаунт продавца должна была поступить оплата. Однако аккаунт взломали, и когда пострадавший восстановил доступ, все деньги с его счета уже исчезли.
По версии продавца, мошенники произвели взлом через звонок в службу поддержки, а номер его телефона они узнали из-за того, что он был указан в накладной Boxberry.
Руководитель направления «Письма и посылки» Boxberry Екатерина Коновалова отметила в комментарии «Коммерсанту», что информация в накладной посылки видна отправителю и получателю. Кроме того, она есть у некоторых сотрудников Boxberry, однако они несут материальную ответственность и подписывают обязательство о неразглашении персональных данных.
Ведущий эксперт «Лаборатории Касперского» Сергей Голованов пояснил газете, что об отправке посылки на крупную сумму знали покупатель, продавец, площадка продажи и сервис доставки. По мнению специалиста, утечка данных могла произойти на любом этапе.
