जब भी मैं इस पार आता हूं, मैं कभी आश्चर्य नहीं करता कि यह कैसे संभव है कि एक बड़ी कंपनी में एसयूसीएच सुरक्षा छेद हो सकता है।
सामान्य तौर पर, अगर आपको लगता है कि एविटो डिलीवरी के साथ कुछ बेचने से आपका पैसा चोरी नहीं हो सकता है, तो आप गलत हैं।
यह अभूतपूर्व निकला: एविटो में फोन द्वारा अपना ईमेल पता बदलने की क्षमता है। आपको केवल लिंक किए गए नंबर से कॉल करना होगा और आपको सूचित करना होगा कि आप अपना ई-मेल बदलना चाहते हैं।
मैंने तीन साल पहले कॉल करते समय नंबर बदलने की तकनीकी संभावना के बारे में लिखा था (https://ammo1.livejournal.com/996419.html ). नवलनी के साथ कहानी के बाद, एविटो के समर्थन के अलावा, हर किसी को ऐसे अवसर के बारे में पता था।
कोई भी छोटा बदमाश फोन नंबर स्पूफिंग एप्लिकेशन का उपयोग कर सकता है और अपने Avito खाते में ई-मेल बदल सकता है। और ईमेल को बदलने के बाद, वह पासवर्ड रिकवरी फ़ंक्शन का उपयोग करके पासवर्ड को बदलने में सक्षम होगा। उसी समय, पुराने (वास्तविक) ईमेल पर कोई सूचना नहीं भेजी जाती है।
एविटो डिलीवरी द्वारा माल भेजते समय, एविटो खाते से जुड़े विक्रेता के फोन नंबर को पार्सल लेबल पर इंगित किया जाना चाहिए। यह संख्या कई लोगों द्वारा देखी जा सकती है, जो कि बॉक्सबेरी पॉइंट पर या रूसी पोस्ट ऑफिस में रिसीवर से होती है और डिलीवरी में भाग लेने वाले सभी लोगों के साथ समाप्त होती है। किसी भी स्तर पर, फोन नंबर प्राप्त करने के लिए पैकेज की एक तस्वीर लेना पर्याप्त है। और फिर सब कुछ सरल है: वे तुरंत ई-मेल बदलते हैं, खरीदार के पार्सल लेने की प्रतीक्षा करते हैं, तुरंत पासवर्ड बदलते हैं, खाते में जाते हैं और अपने कार्ड के लिए पैसे वापस लेते हैं।
यह तथ्य कि लोग दूसरे देश से अपने खाते में लॉग इन करते हैं, अवितो को बिल्कुल परेशान नहीं करता है, लेकिन इस तरह की चेतावनी किसी और के ईमेल पर आती है।
एविटो भी इस बात से बिल्कुल भी परेशान नहीं होता है कि जिस समय एविटो की डिलीवरी हुई है, उस खाते के साथ सभी जोड़तोड़ होते हैं।
इस सरल यंत्रणा का उपयोग करते हुए, हमलावरों ने केवल एक डिलीवरी के लिए 119,000 रूबल चुराए, लेकिन यह कहानी निश्चित रूप से अद्वितीय नहीं है।
पीड़िता ने अपनी जांच कराई और पूरी कहानी विस्तार से बताई यहां .
मैं बहुत उम्मीद करना चाहूंगा कि एविटो इस स्थिति पर ध्यान देगा और फोन द्वारा ई-मेल को बदलने की कोशिश करते समय पुराने ईमेल में कम से कम एक अधिसूचना जोड़ें, और एसएमएस द्वारा इस कार्रवाई की पुष्टि करें।
और यह भी सही होगा यदि एविटो "एवितो-डिलीवरी सेफ डील" में सुरक्षा छेद से हुए सभी नुकसानों की प्रतिपूर्ति करता है।
© 2021, एलेक्सी नादेज़िन
दस साल से मैं हर दिन तकनीक, छूट, रुचि के स्थानों और घटनाओं के बारे में लिख रहा हूं। मेरे ब्लॉग को साइट पर पढ़ें ammo1.ru, में एलजे, जेन, Mirtesen, तार .
मेरी परियोजनाएं:
Lamptest.ru. मैं एलईडी लैंप का परीक्षण करता हूं और यह पता लगाने में मदद करता हूं कि कौन से अच्छे हैं और कौन से अच्छे नहीं हैं।
Elerus.ru. मैं व्यक्तिगत उपयोग के लिए घरेलू इलेक्ट्रॉनिक उपकरणों के बारे में जानकारी एकत्र करता हूं और इसे साझा करता हूं।
आप टेलीग्राम में मुझसे संपर्क कर सकते हैं @ बारूद 1 और मेल द्वारा [email protected] .