На сервисе Avito обнаружили уязвимость, которая позволяла мошенникам получать доступ к чужому аккаунту и похищать деньги. О проблеме накануне рассказал один из пользователей сайта Pikabu. Он отметил, что больше всего его возмутило не наличие уязвимости, а отношение Avito к ней.

Пользователь рассказал, что в конце декабря с помощью «Avito Доставки» продал товар за 119 тыс. рублей. Товар передали Boxberry, а когда покупатель получил его, на счет продавца должна была поступить оплата. Однако его страницу взломали, а после восстановления доступа выяснилось, что все данные в профиле изменены, а денег на счету уже нет.

Пострадавший заявил, что его аккаунт могли взломать из-за того, что на накладной Boxberry был указан номер телефона. Мошенник якобы с помощью подмены номера мог позвонить в службу поддержки от имени владельца страницы и получить доступ к аккаунту. Пользователь подчеркнул, что в службе поддержки ему не смогли сообщить, каким образом был взломан профиль.

Подделывая номера, злоумышленники могут выдать себя за клиента при обращении в службу поддержки, сообщили «Коммерсанту» в Avitо. Там отметили, что проблема уже решена и теперь операторы при обращении клиентов по телефону запрашивают дополнительные данные. Представитель Boxberry сообщил, что вскоре номер телефона продавца перестанут указывать в накладной. Она признала, что у некоторых сотрудников сервиса есть доступ к данным о посылках, но они несут материальную ответственность и подписывают обязательство о неразглашении персональных данных клиентов и коммерческой тайны.