Анализ топ-100 самых скачиваемых приложений в сегменте объявлений и онлайн-услуг выявил более 2 тыс. уязвимостей.
Из которых свыше 500 относятся к критическим и высокоопасным, сообщили в AppSec.Sting.
«Бреши во внутренних данных открывают злоумышленникам возможности для массовых фишинговых атак, поддельных уведомлений и предложений оплатить несуществующие услуги. В результате, вместо домика у моря пользователь рискует остаться и без жилья, и без средств», — отметили в компании.
Мошенники нередко маскируются под сотрудников службы поддержки и через социнженерию убеждают жертв сменить пароль или пройти «проверку». Из-за уязвимостей мобильных приложений пользователь, ничего не подозревая, может потерять доступ к аккаунту и даже деньги.
Редакция нашла в Сети людей, столкнувшихся с подобной проблемой. Например, компания, работающая в сфере музыкальных услуг более пяти лет, потеряла доступ к своему бизнес-аккаунту в одном из таких приложении. Весной 2025 года ее профиль внезапно оказался переименован, все объявления удалены, а при попытке войти — телефон и почта уже не подходили. Вместо услуг кавер-группы на странице появились объявления о продаже цветов, рассказал ее представитель на одном из форумов.
По его словам, мошенники воспользовались уязвимостью в системе: email-адреса маскировались не полностью и их можно было легко угадать. Зная адрес, злоумышленники обращаются в службу поддержки и, получают доступ к чужому аккаунту. Компании всё-таки удалось восстановить аккаунт, но буквально через час он снова был заблокирован приложением, а попытки вывести деньги с аккаунта или удалить его для создания нового, не увенчались успехом.
Из которых свыше 500 относятся к критическим и высокоопасным, сообщили в AppSec.Sting.
«Бреши во внутренних данных открывают злоумышленникам возможности для массовых фишинговых атак, поддельных уведомлений и предложений оплатить несуществующие услуги. В результате, вместо домика у моря пользователь рискует остаться и без жилья, и без средств», — отметили в компании.
Мошенники нередко маскируются под сотрудников службы поддержки и через социнженерию убеждают жертв сменить пароль или пройти «проверку». Из-за уязвимостей мобильных приложений пользователь, ничего не подозревая, может потерять доступ к аккаунту и даже деньги.
Редакция нашла в Сети людей, столкнувшихся с подобной проблемой. Например, компания, работающая в сфере музыкальных услуг более пяти лет, потеряла доступ к своему бизнес-аккаунту в одном из таких приложении. Весной 2025 года ее профиль внезапно оказался переименован, все объявления удалены, а при попытке войти — телефон и почта уже не подходили. Вместо услуг кавер-группы на странице появились объявления о продаже цветов, рассказал ее представитель на одном из форумов.
По его словам, мошенники воспользовались уязвимостью в системе: email-адреса маскировались не полностью и их можно было легко угадать. Зная адрес, злоумышленники обращаются в службу поддержки и, получают доступ к чужому аккаунту. Компании всё-таки удалось восстановить аккаунт, но буквально через час он снова был заблокирован приложением, а попытки вывести деньги с аккаунта или удалить его для создания нового, не увенчались успехом.
