Финал истории - Как потерять 119 000 на "Безопасной сделке Авито-доставка"
Когда два дня тому назад я публиковал пост-предостережение посвященный раскрытию уязвимости в системе идентификации пользователей Авито я и представить себе не мог, что найдётся такое количество неравнодушных людей. Благодаря совместным усилиям появился шанс не просто быть услышанными, но и заставить людей отвечающих за нашу с вами безопасность при работе на площадке Авито, пересмотреть регламенты идентификации пользователей. Что бы никто больше пострадал от этой уязвимости.
С самого утра стали поступать сообщения о том, что распространение истории начинает набирать свои обороты и выходит за рамки обсуждения сообществом Pikabu. Первыми кто обратил внимание на проблему и провел свое собственное расследование оказалась редакция газеты Коммерсант (https://www.kommersant.ru/doc/4683007). Которым удалось выяснить, что Авито знает и признает существование описанной уязвимости и уже внесло необходимые исправления в регламент с целью предотвращения повторений подобных ситуаций в будущем.
В течение нескольких часов со ссылкой на Коммерсант еще несколько крупнейших новостных порталов распространили информацию на своих ресурсах в числе них оказались РБК, Rambler finance, Бизнес Онлайн, 3dnews, 4Pda, Секрет фирмы и многие другие (их действительно было много). В свою очередь телеканал Россия показал сюжет посвященный моей истории и заявление пресс-секретаря Авито о том, что они устранили уязвимость и теперь для идентификации будут запрашивать дополнительную информацию (https://www.vesti.ru/article/2522266).
Позднее всех реакция поступила от сотрудников Авито, уже ближе к вечеру я получил от них в чат технической поддержки пользователей следующее сообщение:
Я искренне благодарен всем кто откликнулся на мой пост и поддержал его распространение. Только благодаря вам стала возможна эта маленькая победа над безответственностью, и безразличием граничащих с глупостью тех людей кто обеспечивают нашу с вами безопасность на площадках и сервисах подобных Авито.
По результату уязвимость закрыта, конечно пока видимо просто добавили строчку в регламент сотрудников, но хочется верить, что когда то будут внедрены функции авторизации и управления рисками в саму систему. За два дня обсуждений, пользователями сообщества было предложено множество механик как реализовать подтверждение подлинности владельца и обезопасить профиль в случае не типичного поведения на аккаунте. Надеюсь, что то из этого будет с доработками принято на вооружение разработчиками.
Но вот о чем я хотел бы еще сказать. То что Авито под социальным давлением признало существование уязвимости, приняло оперативные меры и даже решило компенсировать потерянные средства несомненно является плюсом (не минусом точно). Но мне хотелось бы вернуться в конец декабря 2020 когда я несколько дней провел на телефоне и в переписке с технической поддержкой Авито и все время получал один и тот же ответ: "Мы не знаем как вас взломали, обращайтесь в полицию", а потом к этому добавлялись и вовсе выходящие за рамки высказывания типа: "Безопасность профиля - дело самих пользователей, поменяйте пароль и прочее". И даже когда я заявил, что если они не желают признавать проблему то я буду вынужден обратиться за поддержкой к профессиональному сообществу и простым пользователям, меня просто проигнорировали. Сказали: "Это ваше право"
Рисковать репутацией, придавать огласке некомпетентность проектировщиков, когда можно разобраться в проблеме, исправить ее, извиниться и поблагодарить за проявленное участие. Кому это было выгодно?