На сервисе объявлений «Авито» была выявлена уязвимость, дающая злоумышленникам доступ к учетным записям пользователей. Эта недоработка помогала злоумышленникам похищать деньги со счета профиля.

Сообщается, что на недоработку указал один из пользователей ресурса.

В сообщении сказано, что в конце минувшего года он продал на ресурсе товар, стоимость которого составляла почти 120 тысяч рублей. Товар был передан в Boxberry. Когда товар будет получен, на личный счет продавца должны были поступить денежные средства. Однако в этот момент профиль взломали, а после того, как он был восстановлен, деньги со счета пропали.

Потерпевший уверен, что взлом случился из-за того, что в накладной Boxberry был указан его номер телефона. Он пояснил, что идентификация пользователя происходит через телефонный звонок с номера, указанного на профиле «Авито», в службу поддержки. Судя по всему, злоумышленник, имея номер телефона, от лица владельца профиля обратился в «Авито» с помощью подмены номера. Таким образом был получен доступ к аккаунту и денежным средствам.

Руководство «Авито» подтвердило, что преступники могут выдавать себя за владельца аккаунта, подменяя телефонный номер. Сообщается, что уязвимость уже устранена. Отныне операторы просят сообщить дополнительную информацию о пользователе.