Какой не должна быть система идентификации клиента - SearchInform
Какой не должна быть система идентификации клиента
10.02.2021

Клиент «Авито» обнаружил, что при продаже товаров через «Авито Доставку» можно лишиться денег. Используя технологию подмены номера телефона, мошенники могли получить доступ к аккаунту пользователя и вывести оттуда средства, которые перечислил покупатель. В компании уже изменили систему идентификации на более надежную, но ее история – другим пример.

В декабре 2020 года пользователь «Авито» продал товар за 119 тыс. руб через сервис «Доставка». Товар передали Boxberry, а когда покупатель получил его, на счет продавца должна была поступить оплата. Но в этот момент аккаунт взломали. После восстановления доступа оказалось, что все данные сменены, а денег на счету уже нет. Об истории продавец рассказал на Pikabu, начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд прокомментировал ее для «Коммерсанта».

По версии пострадавшего, взлом произошел из-за того, что в накладной Boxberry был указан его номер телефона. Дело в том, что для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю «Авито», в службу поддержки компании. Получается, что мошенник, обладающий данными из накладной, мог позвонить в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту, предполагал пострадавший.

И действительно, в «Авито» подтвердили, что с помощью подделки номера злоумышленники могут выдать себя за клиента при обращении в службу поддержки. И уже поменяли правила для операторов, теперь они запрашивают дополнительные данные. Но что это за данные? Если, к примеру, это номер паспорта – то проблема не решена. В результате многочисленных утечек данных россиян, вкупе с распространением сервисов «пробива», добыть эту информацию сегодня можно быстро и весьма дёшево. Кроме того, в доработке нуждается регламент смены данных в аккаунте клиента: если смена произошла, клиенту как минимум должны высылаться соответствующие уведомления на старые адреса.

Какой вывод можно сделать из истории? С описанной проблемой могут столкнуться любые другие сервисы, которые используют для идентификации только номер телефона клиента. Если он указан на накладной, его знают как минимум покупатель и сотрудники самой службы. Хотя последние и подписывают соглашения о неразглашении тайны и персданных клиентов, это не гарантирует, что имеющейся информацией не воспользуется инсайдер. Учитывая, насколько доступными сейчас становятся криминальные технологии (вспомним недавнюю историю про Telegram-бота), это большая проблема. Поэтому компании должны работать над более надежными способами идентификации клиентов, чтобы не создавать «дыр» в безопасности и искушения для злоумышленников, где бы они ни находились.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.