Сообщается о схеме подмены данных получателя в логистике при Авито-Доставке и СДЭК

В пользовательских сообщениях обсуждается предполагаемая уязвимость в процессе выдачи заказов при использовании сервиса Авито Доставка совместно с логистическим оператором СДЭК.

Согласно описанию инцидента, при оформлении покупки с использованием сервиса доставки стоимостью около 73 тысяч рублей посылка была отмечена как доставленная и вручённая, однако фактически получатель не получил товар.

По словам участников ситуации, в пункте выдачи заказов произошла выдача посылки с использованием идентификатора CDEK ID, при этом доступ к заказу был осуществлён третьим лицом. Отдельно отмечается, что в данных получателя могли быть изменены контактные сведения, что потенциально позволило злоумышленникам получить контроль над процессом выдачи.

Сообщается, что в результате несоответствия данных и отсутствия синхронизации между системами платформы и логистического оператора заказ был закрыт как успешно выполненный.

На данный момент официальных комментариев о массовой уязвимости в системах Авито и СДЭК не представлено, а описанный случай рассматривается как единичный инцидент, требующий проверки.