Огромная дыра в Avito - любой аккаунт ничего не стоит взломать

[ammo1]

Каждый раз, натыкаясь на такое, я не перестаю удивляться, как это возможно, что у большой компании могут быть ТАКИЕ дыры в безопасности.

В общем, если вы думаете, что продавая что-то с доставкой Авито, ваши деньги не могут украсть, вы ошибаетесь.

Comments

[ext_3773899]

Братская Болгария, не умри там с голоду. Способ не нов https://pikabu.ru/story/avito_ne_proverili_lichnost_pozvonivshego_v_podderzhku_i_moshenniki_poluchili_dostup_k_akkauntu_7926427
И вообще вариантов много https://pikabu.ru/story/moy_negativnyiy_opyit_s_avitodostavkoy_7984503
Висят у меня в продаже два ноута по 50 тыщ. Уже сколько раз отказывал потенциальным покупателям в авито-доставке, и знал же, что не зря.

[astrayka]

\\и знал же, что не зря
а что вы знали?

[ext_3773899]

Что наебут. 20 лет торгую через интернет.

[ammo1]

Болгария не при чём. Это просто VPN.
Очень плохо, что проблема старая, а дыру не закрывают.

[one_ga]

Спасибо, Алексей, что пересказали вкратце и дали ссылку!
Читала на пикабу, но вы большой молодец, что пересказали длинный пост коротко и понятно!

[ammo1]

Если такую информацию не распространять, ничего не изменится.

[ts_sp]

Хорошо бы это ещё поднять на Хабр, там есть их официальный аккаунт, будут вынуждены ответить.

[gdtster]

Автор туда заслал, но, похоже, пост так и не прошёл модерацию. По крайней мере по слову "Авито" найти не могу.

[owk4]

Это вопрос скорее к поставщику телефонии авито, кто там, МГТС, Ростелеком, и т.д. Какого они в свою сеть принимают звонки с номерами мобильных операторов, пришедших не из сети этих операторов? Если номер звонящего скажем "Билайн", а звонок приходит по каналу из Уганды а не со стыка с "Билайном", то такой звонок должен быть сброшен, с уведомлением того же "Билайна", дабы он этот номерок помониторил.

А так - пара судебных исков к Авито, и дырку закроют. Потому что ваш оператор подтвердит что вы этого звонка не осуществляли.

[dusty]

А Билайну-то зачем этот номер мониторить? У него на этом номере сидит вполне себе легальный абонент, которого как раз мошенники и хотят кинуть. Смысл за ним следить какой?

[owk4]

Чтобы внезапно не удивиться явлению абонента в офис с матюками "вы п..ры мои бабки украли, ухожу в МТС".

[dusty]

И как слежение за легальным абонентом поможет этого избежать? Ну вот вы, например, сотрудник Билайна. Вам пришло уведомление, что какой-то левый хер откуда-то из-за бугра пытался позвонить на Авито с номера вашего абонента. Вы лезете в статистику вашего абонента и вполне естественно ничего такого там не находите, это ж не он был. Вы можете и дальше последить за тем, как он совершает совершенно обычные свои звонки - и дальше что вы с этим сделаете?
А отследить кидалу вы не сможете - это не ваша сеть. ХЗ, может через Интерпол можно - но кто станет этим заморачиваться ради обычного абонента, даже если и есть такая возможность?
Можно, конечно, об инциденте абонента уведомить. Но этим должен в данном случае заниматься не Билайн, а Авито.

[ieroglifugresha]

Это только кажется, что дыра в безопасности. Но ведь может быть и запланированная фича.

Мое оценочное суждение, что такая возможность свалить все на "мошенников" очень выгодна. Кому, догадайтесь сами.

З.Ы. Вот, например, Вайлдберриз довольно долгое время теряли поставленные товары от единиц до палет. От сотен рублей до миллионов. Куда девался товар - никто не знает.

[dusty]

Поставщику услуг это точно невыгодно. Ну перестанет из-за этих косяков потребитель пользоваться его услугами, да еще и на весь рунет об этом напишет, как вот Алексей, например. И в чем счастье? В разовом кидке? Деньги делаются на массовости, а не на вот этом.

[ieroglifugresha]

Когда поставщик - монополист, он может делать все, что угодно. Это далеко не единственная история:
https://www.yaplakal.com/forum7/topic2213106.html

Юла так вообще слила мой номер телефона сидельцам: просто просматривал объявления об аренде квартир, а там 99% "хозяев" подмосковных квартир с свердловскими номерами телефонов, так они мне названивать стали и писать.
Откуда они могли узнать его?

[demonmsk]

эээ, сервис показывает кто смотрел твоё объявление
тыкаешься в любое объявление покупателя, и смотришь номер.
поэтому "поиск-просмотр" - только в анонимном режиме.

[uppsss]

Мало того, у меня был телефонный номер только для авито, так спам звонки на него сыпались и до сих пор валятся до 5 в день. Начиная от автоответчиков по предложению кредита, и до предложения посетить открытие массажного салона в городе за 1500 км.

[ammo1]

Я Вам больше скажу. У меня есть номер, который нигде никогда не использовался. На него тоже поступают спам звонки и смс.

[ts_sp]

В стародавние времена, ещё когда широко использовались телефонные модемы, был такой метод, называемый wardialing - тупо обзванивали весь диапазон номеров и те номера где было установлено соединение записывали в список для дальнейшей обработки.

Сейчас спам-обзвоны делает робот через ip-телефонию, который при дозвоне на отключенный номер сразу получает соответствующий код ошибки, поэтому отличает используемые номера от неиспользуемых. На одну попытку вызова тратится максимум пара секунд. Поэтому даже если номер нигде не был засвечен, но телефон включен - они туда в конце-концов дозвонятся.

Кстати, если телефон включен, но там месяцами никто не отвечает или отвечает автоответчик через минуту, спамеры после нескольких безуспешных попыток надолго перестают туда звонить.