В сервисе «Авито» была замечена серьезная уязвимость, которая давала возможность злоумышленников без труда узнать доступ к профилям пользователей и выводить денежные средства за товары.
Пробел в системе идентификации клиентов этого сервиса, позволявший преступникам выводить денежные средства за продукцию, проданную с помощью «Авито Доставка», обнаружился с помощью одного из продавцов «Авито».
В частности, в декабре прошлого года он реализовал на «Авито» товаров на общую сумму в размере 119000 рублей. Данный товар был передан Boxberry. Однако после того как потенциальный покупатель забрал товар, на счет продавца не поступила оплата. Оказалось, что в это самое время его профиль был взломан. После восстановления профиля выяснилось, что все сведения заменены, а денежные средства на счету отсутствуют.
По мнению жертвы мошенничества, взлом аккаунта произошел по причине того, что в накладной курьерской службы Boxberry был написан номер его телефона.
В компании «Авито» не отрицали, что мошенники могут назвать себя клиентом при обращении в службу поддержки, фальсифицируя номера телефонов. Вместе с тем представители сервиса заверили, что данная уязвимость была исправлена с помощью замены правил для операторов.