Взломали озон аккаунт, отменили заказы, и тут же вывели ~44т.р. с озон банка.

Коротко: проблемы с безопасностью аккаунтов, судя по всему присутствуют дыры\баги, с помощью которых можно войти в аккаунт без подтверждения по номеру телефона.

Подробно: 18.11.2024 21:17 MSK сижу за ноутом и формирую заказы на @ozon (маркетплейсе) - вижу уведомление, что заказ отменился. Первая мысль - продавец что-то там хитрит. Иду в тех поддержку писать, и вижу, что начинают все активные заказы отменяться. Понимаю что это взлом, начинаю судорожно выходить из левых сессий и вижу, что к аккаунту привязаны левые гос услуги (не на мое имя). Я будучи онлайн, прям параллельно со взломщиком сидел в своем ЛК, разлогинивал ему сессии раз 10, отвязывал чьи-то левые гос услуги от моего аккаунта, но буквально через 30 секунд он опять был залогинен и гос услуги заново привязаны.По итогу - отменили все активные заказы, деньги моментально вернулись на озон банк, откуда злоумышленник перевел средства на авито кошелек.

Интересные факты:

- для входа в озон требуется ввести 6-значный одноразовый код из смс, либо, что даже чаще - последние 6 цифр номера, который звонит тебе на привязанный к озону номер телефона. А если ты вошел в аккаунт озон, то и в банк ты можешь попасть без всяких там дополнительных вопросов судя по всему. у меня была привязана почта с 2 факторкой, но даже когда пытаешься войти через нее - все равно озон просит 6 значный код с телефона \ приложения. ну и к тому же на почте никаких уведомлений\писем о новых входах на нее не было (gmail вообще на телефон уведомляет о фактах логина пушем).

- мой телефон у меня под полным контролем, был включен в момент взлома, и никаких звонков или смс при входе взломщика я не получал. данный факт подтверждается детализацией с мобильного оператора, которую я заказал утром следующего дня. разумеется никакие коды и информацию никаким третьим лицам я не передавал.

- к моему аккаунту озон привязывали аккаунт гос услуг (не мой, имя было левое, но увы не успел сделать скриншоты, т.к. судорожно выкидывал чужие сессии) - не знаю, что именно это давало, и как именно это возможно, т.к. мой аккаунт гос услуг зарегистрирован на тот же номер, что и озон, и он тоже находится под полным контролем, включена 2фа.

- все явно происходило в автоматическом или полуавтоматическом режиме, т.к. после отвязки гос услуг и деактивации сессии, взломщик опять был залогинен и с привязанными гос услугами в течение буквально нескольких секунд.

- пользователь смог перевести средства без подтверждения по номеру телефона, и неизвестно, запрашивался ли у него 4х значный пинкод (т.к. его спрашивают крайне редко, когда ты давно ничего не покупал). крайне небезопасно, что в банк можно войти просто по одноразовому коду приходящему на телефон, а вот сделать пароль или добавить 2фа - нельзя. при этом если вошел из аккаунта озона (в который войти можно так же) - то доверие банка еще больше, и ему не важно, что это новый незнакомый IP. и при этом однотипные, но нетипичные транзакции для аккаунта никак не заблокировались. факт того, что деньги зачисляются и тут же выводятся - тоже никак не тригернул систему безопасности.

- поддержка самого озона - это филиал ада на земле, пишут шаблонами, в суть вопроса не вникают вообще, сразу закрывают тикет. т.е. ты пишешь им сообщение - ждешь 15 минут очередь, тебе пишут бесполезный ответ и тут же закрывают тикет, без возможности развить диалог. я раз 10+ пытался писать им, мне 7 раз сказали чтобы я вышел из всех сессий, и раза 3 - что никакой подозрительной активности на моем аккаунте не обнаружено. это при том, что я первым же сообщением четко изложил произошедшее.

- поддержка озон банка - в чате мне так и не ответили в течение минут 30, зато я смог дозвониться на горячую линию (тоже раза с 3го, и минут через 15, но это уже ладно). Там хотя бы адекватный специалист была, выслушала, вникла, заморозила временно банк акк, передала запрос в СБ, сказав, что в течение 24ч вопрос будет решен, и что со мной свяжутся.

На данный момент ничего не решилось еще и СБ пока на связь не выходили со мной.

22
48 комментариев

UPD на 20.11.2024 19:00 MSK
Ну, как и ожидалось, мне никто не перезвонил (хотя обещали что в течение 24ч сотрудник СБ банка позвонит мне для исследования инцидента, чтобы вопросы позадавать там и тд).
После моего звонка в озон банк меня вежливо послали во внутренние органы, сказав, что операции были совершены путем сканирования QR кода, а значит - "добровольные и оспорить их нельзя". На закономерный вопрос "а добровольные - это когда левый человек с незнакомого устройства и IP взламывает меня и без моего ведома и согласия отправляет средства в неизвестном направлении?" - сказали, что ну да, не может и не добровольные, но поделать ничего не можем, "наам оочеень жааль" (с)

На второй закономерный вопрос - а что там законы на эту тему думают? Не является ли это проблемой банка, если в результате взлома и несвоевременной реакции поддержки + отсутствия нормальных проверок исходящих операций (нетипичная транзакция с незнакомого IP, еще и повторяющаяся 3 раза) клиент несет убытки? и не должна ли кредитная организация покрывать такие убытки - сказали, что "вот если бы операция была внутри банка, то ее можно было бы оспорить, а если в другой банк деньги перевели, то тут наши полномочия все".

Мне уже написал один человек тут, что столкнулся ровно с такой же ситуацией, всех деталей я еще не знаю, но, осмелюсь предположить, что дыра в безопасности касательно входа в акк - имеется. Тоже вошли в аккаунт без одноразового 6-значного кода.

Тот факт, что на озон карте установлены лимиты, или запрещены какие-либо оплаты с карты кроме как в самом озоне - вообще не имеют смысла, т.к. человек попадая в ваш онлайн банк, просто снимает все эти лимиты, и тут же делает что ему нужно. И никаких вопросов, к нему не задается. Мне сказали, что если установлена биометрия, то вход может быть по ней. Т.е. судя по всему человек с другого устройства прошел свою же биометрию, и озон банку это подошло. А вход в банк был через аккаунт маркетплейса, в который вломились как-то через левые гос услуги.

На данный момент мне еще и ограничили возможность совершать покупки на маркетплейсе, т.к. обнаружили "подозрительную активность" - это прям бинго (хотя, я почти уверен что разблочат в ближайшее время). Скриншоты переписок пока специально не выкладываю, но это правда великолепно, когда я им пишу "меня взломали, ограничьте активность аккаунта прям сейчас, срочно" - мне заторможенно отвечают "подозрительной активности не обнаружено", а через 2 дня, когда я уже задолбал их в переписках \ звонках и тд, и решил что "ну потери потерями, а плинтуса сами себя не закажут" - они спохватились и начали говорить, что в целях безопасности сами отменили все мои активные заказы, и просили уточнить, помню ли я когда совершались последние заказы лично мной. Я может конечно переоцениваю доступную им информацию, но как будто логировать IP адреса \ инфу об устройстве с которых совершаются заказы - это база. и оценить, что вот сейчас тебе пишут с устройства/IP, которое система знает уже N лет, а вот совершают действия с впервые добавленного устройства/IP - это как будто не очень сложно

1
Ответить

Добрый вечер. Сообщите id вашего аккаунта, цифры до тире в каждом номере заказа. Проверим, что уже сделано в вашей ситуации, на каком этапе проверка. Подключим коллег из СБ и IT, также с сотрудниками Ozon Банка обсудим кейс. Во всём разберёмся и постараемся помочь вам.

1
Ответить

ID: 34449852
Крайне надеюсь на помощь. очень активно пользуюсь сервисом, для ремонта все закупаю у вас уже год. но так подловить меня на закупе мебели и техники - это просто около фантастическое совпадение=\

Ответить

Забавный факт: мне уже дважды приходят уведомления от тех поддержки озон банка в заблокированный личный кабинет, а затем еще и просьба оценить консультацию. Сообщения я разумеется читать не могу, ЛК заблокирован вашим же сотрудником (с моего одобрения). А на эмейле, и по телефону, с которого я оставлял заявку - ничего.

Ответить

хах, неудивительно.
Это "банк" - исключительно для покупки трусов, носков, чехлов итп)

1
Ответить

Ну так я думаю он так большинством и используется, мной в том числе. Но есть ньюанс как говорится. Заказал я одновременно себе техники / мебели и плинтусов, и пока те ехали - меня волшебно ломанули, отменили не приехавшие заказы и тут же перевели возвращенные средства третьим лицам. То, что хранить ощутимые средства не стоит - и ежу понятно. Но вот то, что и заказывать много опасно - для меня было не очень тривиально. Я уже молчу о потенциальных переводах без подтверждения со своих основных банков. Формально, взломщик мог бы еще и попытаться пополнить счета с тиньки / сбера, и эти средства тоже вывести. Будьте осторожны с этим тоже)

Ответить