حفرة ضخمة في Avito

  • Mar 03, 2021
click fraud protection

في كل مرة أجد فيها هذا ، لا أتوقف أبدًا عن التساؤل كيف يمكن لشركة كبيرة أن يكون لديها مثل هذه الثغرات الأمنية.

بشكل عام ، إذا كنت تعتقد أن بيع شيء ما باستخدام توصيل Avito ، لا يمكن سرقة أموالك ، فأنت مخطئ.

ثقب كبير في Avito - أي حساب لا يكلفك أي شيء للاختراق
ثقب كبير في Avito - أي حساب لا يكلفك أي شيء للاختراق

لقد اتضح أنه أمر استثنائي: يمتلك Avito القدرة على تغيير عنوان بريده الإلكتروني عبر الهاتف. كل ما عليك فعله هو الاتصال من الرقم المرتبط وإبلاغك برغبتك في تغيير بريدك الإلكتروني.

كتبت عن الإمكانية الفنية لتغيير الرقم عند إجراء مكالمة قبل ثلاث سنوات (https://ammo1.livejournal.com/996419.html ). بعد القصة مع Navalny ، علم الجميع بمثل هذه الفرصة ، باستثناء دعم Avito.

ثقب كبير في Avito - أي حساب لا يكلفك أي شيء للاختراق

يمكن لأي محتال تافه استخدام تطبيق انتحال رقم الهاتف وتغيير البريد الإلكتروني في حساب Avito الخاص بك. وبعد تغيير البريد الإلكتروني ، سيتمكن من تغيير كلمة المرور باستخدام وظيفة استعادة كلمة المرور. في الوقت نفسه ، لا يتم إرسال أي إشعارات إلى البريد الإلكتروني القديم (الحقيقي).

ثقب كبير في Avito - أي حساب لا يكلفك أي شيء للاختراق

عند إرسال البضائع عن طريق تسليم Avito ، يجب الإشارة إلى رقم هاتف البائع المرتبط بحساب Avito على ملصق الطرد. يمكن رؤية هذا الرقم من قبل العديد من الأشخاص ، من المتلقي في نقطة Boxberry أو في مكتب البريد الروسي وانتهاءً بكل من يشارك في التسليم. في أي مرحلة ، يكفي التقاط صورة واحدة للحزمة للحصول على رقم هاتف. وبعد ذلك يكون كل شيء بسيطًا: يغيرون البريد الإلكتروني على الفور ، وينتظر المشتري استلام الطرد ، ويغير كلمة المرور على الفور ، ويدخل إلى الحساب ويسحب الأموال إلى بطاقته.

instagram viewer

حقيقة أن الأشخاص قاموا بتسجيل الدخول إلى حساباتهم من بلد آخر لا تزعج Avito على الإطلاق ، ولكن مثل هذا التحذير يأتي إلى البريد الإلكتروني لشخص آخر.

ثقب كبير في Avito - أي حساب لا يكلفك أي شيء للاختراق

لا تهتم Avito على الإطلاق بأن جميع عمليات التلاعب بالحساب تحدث في الوقت الذي يتم فيه تسليم Avito.

باستخدام هذه الماكينة البسيطة ، سرق المهاجمون 119000 روبل مقابل دفعة واحدة فقط ، لكن هذه القصة بالتأكيد ليست فريدة من نوعها.

الضحية أجرى تحقيقه الخاص ووصف القصة كاملة بالتفصيل هنا .

أتمنى أن ينتبه Avito إلى هذا الموقف ويضيف على الأقل إشعارًا إلى البريد الإلكتروني القديم عند محاولة تغيير البريد الإلكتروني عبر الهاتف ، وتأكيد هذا الإجراء عن طريق الرسائل القصيرة.

وسيكون صحيحًا أيضًا إذا سددت Avito جميع الخسائر التي تكبدتها من الثغرة الأمنية في "Avito-Delivery Safe Deal".

© 2021 ، أليكسي ناديجين

منذ عشر سنوات ، كنت أكتب كل يوم عن التكنولوجيا والخصومات والأماكن ذات الأهمية والأحداث. اقرأ مدونتي على الموقع ammo1.ru، في LJ, زين, ميرتسن, برقية .
مشاريعي:
Lamptest.ru. أختبر مصابيح LED وأساعد في معرفة أيها جيد وأي منها ليس جيدًا.
Elerus. أقوم بجمع معلومات حول الأجهزة الإلكترونية المحلية للاستخدام الشخصي ومشاركتها.
يمكنك الاتصال بي في Telegram @ ammo1 وعن طريق البريد [email protected] .