Когда два дня тому назад я публиковал пост-предостережение посвященный раскрытию уязвимости в системе идентификации пользователей Авито я и представить себе не мог, что найдётся такое количество неравнодушных людей. Благодаря совместным усилиям появился шанс не просто быть услышанными, но и заставить людей отвечающих за нашу с вами безопасность при работе на площадке Авито, пересмотреть регламенты идентификации пользователей. Что бы никто больше пострадал от этой уязвимости.
Первыми кто обратил внимание на проблему и провел свое собственное расследование оказалась редакция газеты Коммерсант . Которым удалось выяснить, что Авито знает и признает существование описанной уязвимости и уже внесло необходимые исправления в регламент с целью предотвращения повторений подобных ситуаций в будущем.
В течение нескольких часов со ссылкой на Коммерсант еще несколько крупнейших новостных порталов распространили информацию на своих ресурсах в числе них оказались РБК, Rambler finance, Бизнес Онлайн, 3dnews, 4Pda, Секрет фирмы и многие другие (их действительно было много). В свою очередь телеканал Россия показал сюжет посвященный моей истории и заявление пресс-секретаря Авито о том, что они устранили уязвимость и теперь для идентификации будут запрашивать дополнительную информацию .
Я искренне благодарен всем кто откликнулся на мой пост и поддержал его распространение. Только благодаря вам стала возможна эта маленькая победа над безответственностью, и безразличием граничащих с глупостью тех людей кто обеспечивают нашу с вами безопасность на площадках и сервисах подобных Авито.
По результату уязвимость закрыта, конечно пока видимо просто добавили строчку в регламент сотрудников, но хочется верить, что когда то будут внедрены функции авторизации и управления рисками в саму систему. За два дня обсуждений, пользователями сообщества было предложено множество механик как реализовать подтверждение подлинности владельца и обезопасить профиль в случае не типичного поведения на аккаунте. Надеюсь, что то из этого будет с доработками принято на вооружение разработчиками.
Но вот о чем я хотел бы еще сказать. То что Авито под социальным давлением признало существование уязвимости, приняло оперативные меры и даже решило компенсировать потерянные средства несомненно является плюсом (не минусом точно). Но мне хотелось бы вернуться в конец декабря 2020 когда я несколько дней провел на телефоне и в переписке с технической поддержкой Авито и все время получал один и тот же ответ: "Мы не знаем как вас взломали, обращайтесь в полицию", а потом к этому добавлялись и вовсе выходящие за рамки высказывания типа: "Безопасность профиля - дело самих пользователей, поменяйте пароль и прочее". И даже когда я заявил, что если они не желают признавать проблему то я буду вынужден обратиться за поддержкой к профессиональному сообществу и простым пользователям, меня просто проигнорировали. Сказали: "Это ваше право"
Рисковать репутацией, придавать огласке некомпетентность проектировщиков, когда можно разобраться в проблеме, исправить ее, извиниться и поблагодарить за проявленное участие. Кому это было выгодно?
ТС, а ты упёртый, пожалуйста не останавливайся, может за госдуму возьмёшься??) там такие утечки, что ни одна плотина не удержит) если так же результативно будет, я на президентских за тебя проголосую и всех бабок у подъезда сагитирую
Только благодаря вам стала возможна эта маленькая победа над безответственностью, и безразличием граничащих с глупостью тех людей кто обеспечивают нашу с вами безопасность на площадках и сервисах подобных Авито.
Ни хуя себе "маленькая победа". Ты сделал огромное дело! Тоже удивлён, что Авито после стольких инцидентов не шевелилось.
Рисковать репутацией, придавать огласке некомпетентность проектировщиков, когда можно разобраться в проблеме, исправить ее, извиниться и поблагодарить за проявленное участие. Кому это было выгодно?
Репутация - ничто, альтернативы по большому счету нет, все равно будут пользоваться. "Это не мы, безопасность - ваша задача" - стандартная отмазка: а вдруг прокатит? Назвать пользователя дураком, который сам скомпрометировал свой аккаунт, и в полицию не обратится. Деньги-то никому не хочется возвращать. Тем более, что это прецедент. Теперь остальные обманутые подобным образом подтянутся. А так заглохло бы и ничего возвращать не пришлось бы.
Здравствуйте , Алексей Под давлением общественности. И из за боязни что вы не остановитесь и продолжите писать .
В следствии чего может пойти инфа, что обмАнутый клиент так и не получил денег. Мы решили да хуй с ним вернём вам деньги.
Но на этом все ! Не стоит вам расчитывать, на какой-то бонус , или мат компенсацию за потраченное время на восстановление справедливости . Наше «Извините, така хуйня в первый раз» вам Хватит. Радуйтесь что деньги вернули!! Вечно ваш «гОвнито»
Размещено через приложение ЯПлакалъ
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
, который придумал такую "крутую" проверку пользователя.
yaplakal.com