Какой не должна быть система идентификации клиента
10.02.2021
Вернуться к списку статейКлиент «Авито» обнаружил, что при продаже товаров через «Авито Доставку» можно лишиться денег. Используя технологию подмены номера телефона, мошенники могли получить доступ к аккаунту пользователя и вывести оттуда средства, которые перечислил покупатель. В компании уже изменили систему идентификации на более надежную, но ее история – другим пример.
В декабре 2020 года пользователь «Авито» продал товар за 119 тыс. руб через сервис «Доставка». Товар передали Boxberry, а когда покупатель получил его, на счет продавца должна была поступить оплата. Но в этот момент аккаунт взломали. После восстановления доступа оказалось, что все данные сменены, а денег на счету уже нет. Об истории продавец рассказал на Pikabu, начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд прокомментировал ее для «Коммерсанта».
По версии пострадавшего, взлом произошел из-за того, что в накладной Boxberry был указан его номер телефона. Дело в том, что для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю «Авито», в службу поддержки компании. Получается, что мошенник, обладающий данными из накладной, мог позвонить в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту, предполагал пострадавший.
И действительно, в «Авито» подтвердили, что с помощью подделки номера злоумышленники могут выдать себя за клиента при обращении в службу поддержки. И уже поменяли правила для операторов, теперь они запрашивают дополнительные данные. Но что это за данные? Если, к примеру, это номер паспорта – то проблема не решена. В результате многочисленных утечек данных россиян, вкупе с распространением сервисов «пробива», добыть эту информацию сегодня можно быстро и весьма дёшево. Кроме того, в доработке нуждается регламент смены данных в аккаунте клиента: если смена произошла, клиенту как минимум должны высылаться соответствующие уведомления на старые адреса.
Какой вывод можно сделать из истории? С описанной проблемой могут столкнуться любые другие сервисы, которые используют для идентификации только номер телефона клиента. Если он указан на накладной, его знают как минимум покупатель и сотрудники самой службы. Хотя последние и подписывают соглашения о неразглашении тайны и персданных клиентов, это не гарантирует, что имеющейся информацией не воспользуется инсайдер. Учитывая, насколько доступными сейчас становятся криминальные технологии (вспомним недавнюю историю про Telegram-бота), это большая проблема. Поэтому компании должны работать над более надежными способами идентификации клиентов, чтобы не создавать «дыр» в безопасности и искушения для злоумышленников, где бы они ни находились.