Пару недель назад на Пикабу был опубликован пост Как потерять 119 000 на "Безопасной сделке Авито-доставка" или почему это касается всех пользователей без исключения
Это актуально для ВСЕХ, кто продаёт через АвитоДоставка. И не важно какой сложности стоят пароли и т.д., т.к. мошенники используют лазейку в самом Авито и вывод денег происходит через сотрудников Авито, минуя самого продавца.
Что больше всего поразило - это отношение Авито к этой дыре в своей системе безопасности. Продавец с декабря прошлого года пытался выяснить, как у него вывели 119 тыс., но все обращения в службу поддержки ничего не дали. И даже когда продавец сам выяснил причину, то Авито написали, что меняйте почаще пароли (что не имеет никакого отношения к проблеме) и всё, больше ничем помочь не можем. И реакция от Авито и признание проблемы произошло только после того, как пост попал на новостные порталы и поднялся шум. Т.е. Авито, зная о проблеме как минимум с декабря прошлого года (скорее ещё раньше), не сделал ничего, чтобы закрыть эту дыру в своей системе безопасности и предотвратить потерю денег у своих пользователей. Действительно, зачем? Авито же получило комиссию со сделки, а то что продавец не получил деньги - так им от этого не горячо, не холодно. После публикации поста в новостях, Авито всё же признали проблему, обещали устранить в ближайшее время и вернули деньги, но только одному этому продавцу, вокруг которого поднялась шумиха. Что со всеми остальными, кто из-за проблем Авито лишились своих денег? Да ничего! Они же в новости не попали, так зачем на них обращать внимание.
Мне не повезло с тем, что я воспользовался АвитоДоставкой когда о дыре в своей системе безопасности они давно знали, но шумиха в новостях ещё не поднялась и ничего по устранению не было сделано. После публикации моего поста на Пикабу, они подождали несколько дней. Поняли, что в новости это не попадёт (новостным порталам повтор, тем более с меньшей суммой стал не интересен) и дали стандартную отписку, чтобы я почаще пароль менял и всё.
Этот пост создан с целью, чтобы как можно больше пользователей Авито узнали о проблеме с АвитоДоставкой и не попали на деньги. Узнай я об этом до отправки заказа, то не стал бы пользоваться и не попал бы. Сейчас я уже на всех своих объявлениях отключил АвитоДоставку и остальным пока не рекомендую пользоваться.
А теперь распишу всё по порядку.
8 февраля в 11:52 у меня оформили заказ через АвитоДоставку. До этого я несколько раз отправлял ей, принцип работы знал. Это сейчас я понимаю, что мне тогда просто везло.
На следующий день, 9 февраля я передал упакованный заказ в пункт БоксБерри. После передачи получил вот такую накладную:
В принципе обычная накладная. Только небольшое замечание: теперь в дополнение к Авито ещё и любой сотрудник БоксБерри, имеющий доступ к базе, может посмотреть мой номер телефона и сумму, которую я должен получить после доставки (выделено красным).
Пока ничего особо криминально нет. Ну узнает кто-то мой номер телефона и сумму - ну и что?
А вот тут начинается самое интересно. Я тоже сначала не мог понять как вошли в мой профиль и вывели деньги. Помог разобраться пост об украденных 119 тыс. (там всё подробно описано).
10 февраля, в день когда покупатель должен был получить посылку, а я деньги за неё, с номера телефона с поддельным ID, который повторяет цифры в номере телефона в накладной и профиле совершается звонок в службу поддержки Авито. Оператор Авито, думая что звонит владелец аккаунта и не запрашивая дополнительных подтверждающих данных, меняет почту в профиле. Почему так просто? Зачем продавцу нужно менять почту, которая у меня с момента регистрации на Авито, т.е. с мая 2011 года (почти 10 лет!) и именно в день получения денег за заказ, не понятно. При этом на старую почту никаких уведомлений не приходит! Авито, по-моему гениально! Почему нельзя сделать отправку уведомления на почту, которую отвязывают и предупредить об этом? Было бы это уведомление, то возможно всё получилось бы по другому.
В тех.поддержке мне написали, что уведомление приходит только на новую почту (логика? нет, не слышали).
В качестве доказательства, что этот звонок был совершён не мной или может с использованием вредоносного ПО или клона сим-карты прикладываю выписку оператора связи за этот период времени.
Хорошо, что я ещё догадался сделать фото экрана с этим обращением. Правда меня тогда смутило только время: что это за обращение в 4 часа ночи для настройки профиля. И если бы не пост об украденных 119 тыс., то я бы так и не придал значения этому обращению.
Ещё интересный момент: после долгого общения с тех.поддержкой Авито с вопросом как был осуществлён доступ к профилю и вывод денег (ответ был: мы не знаем), вся история обращений до 10.02.21 15:58 на сайте была удалена (удалены все обращения: и мои и не мои). Мои то обращения я могу посмотреть у себя на почте, т.к. они туда дублируются, а вот какие ещё были - уже нельзя посмотреть. На мою просьбу в тех.поддержку прислать список всех обращений за 9-10 февраля, мне написали смотрите на сайте, если их там нет, значит нет. Вот так вот.
Далее мошенники делают сброс пароля с использованием новой почты и получают полный доступ к профилю. Всё! И пользователь никак не может повлиять или защититься от этого. Будь у тебя хоть супер-пупер сложный пароль, вот так с помощью звонка в тех.поддержку Авито можно поменять почту, а затем сбросить любой пароль и поставить свой.
Скрин экрана с фиксацией входа по новой почте:
Ну вот и всё. Теперь мошенникам остаётся только дождаться сообщения об удачной продаже и вывести деньги. Правда в отличие от поста про 119 тыс. тут они немного поторопились, думая что заказ заберут утром.
Я утром тоже решил проверить состояние заказа и попытался войти на сайт. Естественно это у меня не получилось. Начинаю вспоминать истории, когда после отправки заказа профиль специально блокировали, чтобы покупатель смог получить товар, а потом и деньги вернуть, т.к. продавец при блокировке не может вывести деньги. Кто же знал, что тут другая схема.
Доступ тех.поддержка мне восстанавливает, но опять никаких уведомлений или сообщений, что старая почта заменена на новую нет. Правда немного успокаивает то, что я поменял все пароли и написал в тех.поддержку письмо с просьбой блокировки возможности вывода денег, т.к. не случайно всё это произошло в день когда я должен был получить деньги - не верю я в такие совпадения.
Во второй раз доступ к профилю у меня сохраняется ровно до того момента, как покупатель не забрал посылку (почта в профиле же остаётся левая). Только в этот раз, чтобы я им опять не помешал мой номер телефона меняется на 8-963-3830359. И опять никаких смс или других уведомлений не пришло.
В 14:26 Авито уведомляет, что покупатель забрал заказ и кидает в чат мошенникам, которым сам же, единолично предоставил доступ к профилю, ссылку на вывод денег.
В 14:51 мошенники забирают деньги и Авито их поздравляет. Отлично!
И тут просто море вопросов:
1. Почему Авито так легко, без какой-либо проверки меняет почту и при этом никаких уведомлений не присылает?
2. Почему также легко можно поменять номер телефона в профиле. Где сообщения на старый номер, что его пытаются сменить?
3. Почему производится вывод денег в день, когда был зафиксирован факт взлома аккаунта, изменена почта, а потом ещё и номер телефона, а сам продавец просил не выводить ему деньги?
Т.е. человек отправляет заказ, а в день получения решает сменить почту, которой 10 лет, номер телефона да ещё и дать данные карты, на которую никогда не выводил деньги и на которой даже имя не совпадает??? И Авито делает вид, что всё нормально, так и должно быть. Безопасность? Нет, не слышали. Или в этом есть и их интерес?
Причём на множестве подобных сайтов уже реализованы меры защиты пользователей и денег. Почему Авито это не делает - не понятно. Возможно и правда есть какой-то интерес? Потому что одной ленью это сложно оправдать.
Посмотрим, будет ли на этот пост ответная реакция от Авито. Пока пишут меняйте почаще пароли и "Мы не участвуем в мошеннических схемах и технически не можем в них участвовать, как и давать доступы к профилю третьим лицам".