Служба поддержки клиентов, бэкдор от Amazon

    Мог бы сознательный пользователь в вопросах безопасности, использующий лучшие практики — уникальные пароли, двухфакторную авторизацию, использование только своего надежного компьютера для входа и способность определять фишинговые сайты за милю — находиться в полной уверенности, что его счетам и персональным данным ничего не угрожает? Увы, нет.



    Когда кто-то целенаправленно следит за Вами — все эти уловки становятся бесполезными. Дело в том, что большинство систем имеют в наличие бэкдор, пользовательскую поддержку. В этом посте я собираюсь сфокусироваться на самом злостном преступнике: Amazon. com. Это была одна из нескольких компаний, которым я мог бы доверить свои персональные данные. В конце концов, там я делаю покупки, а кроме того, раньше работал разработчиком программного обеспечения и потому считаю себя довольно крупным пользователем AWS (с оборотом более чем $600/месяц).

    Все началось с довольно безобидного письма на электронную почту.



    Первое, что я предположил — это должно быть ошибка или запоздалое сообщение автоответчика (месяцем ранее я обращался в поддержку). Но любопытство взяло верх, я связался с Amazon, чтобы уточнить у них в чем дело. Они невозмутимо ответили, что я общался с поддержкой Amazon. Какого черта? Это была текстовая переписка, которую они смогли предоставить мне по электронной почте.



    Позвольте отметить, адрес указанный в переписке не принадлежит мне. Это адрес отеля, чей почтовый индекс совпадает с моим. Я использовал его, чтобы зарегистрировать несколько доменов, зная, что информация в Whois слишком часто становится достоянием общественности. Для регистрации использовал район в котором живу, чтобы мой статический IP совпадал с данными, указанными в Whois.

    Продолжаем:



    Вау. Просто вау. Злоумышленник предъявил Amazon мои ложные данные, которые взял в Whois домена и взамен получил мой реальный адрес и номер телефона. Теперь они получили достаточно данных, чтобы заполучить и доступ к некоторым сервисам и даже убедить мой банк выдать новую копию моей кредитной карты. Было весьма трудно сдерживать себя, чтобы не выплеснуть все негодование на поддержку. Я связывался с Amazon Retail и AWS, выражая мое разочарование и просил их установить пометку в моем аккаунте, что риск взлома и входа в учетную запись очень высок. Amazon Retail сказали, что они установят пометку в моей учетной записи и со мной свяжется специалист (который так и не вышел на связь). В то же время AWS игнорировал существующий риск.

    Быстро перемотав события на пару месяцев вперед, я допустил ужасную ошибку и подумал, что угроза уже позади. Я предоставил Amazon свежие данные по кредитной карте и новые адресные данные. Взамен получил еще одно письмо.



    Я опять обратился в службу поддержки Amazon, чтобы разобраться, что происходит. На сей раз мне посчастливилось пообщаться с сотрудником поддержки, который на все 100% не понимал, как такое возможно, чтобы от моего имени выступал кто-то другой. Мне было по-истине сложно сдерживаться, когда он начал рассказывать, что нужно сменить пароль, чтобы таких ситуаций с «двойниками» не возникало в дальнейшем. В конце концов мне пришлось признать, что это был «я» и требовать от него распечатку «моего» диалога (и он все же смог ее предоставить).




    Далее злоумышленник проявляет безуспешные попытки получить последние 4 цифры моей кредитной карты.



    Предполагаю, мне крупно повезло, что Amazon не выдал данные по моей кредитной карте. И снова связываюсь с поддержкой, повторяя насколько важно не передавать мои данные другим личностям. Они снова обещают, что добавят заметку к моему аккаунту и со мной свяжется специалист (и опять таки — никакого специалиста).

    На этот раз я решил, что не могу доверять Amazon свои адресные данные и пора бы удалить его с моего аккаунта.

    Теперь переходим ко второму дню моих приключений с Amazon:



    На этот раз я не смог получить распечатку диалога, так как злоумышленники связались с Amazon по телефону и у них не сохранилось записи. Я с ужасом подумал, что теперь то злоумышленникам удалось получить последние цифры моей кредитной карты. Как выяснилось позже, опасения были не напрасны.

    На этот раз Amazon окончательно предал мое доверием к ним (а если точнее — уже трижды!). Я сделал все, что было в моих силах, чтобы обеспечить необходимую защиту аккаунта. Но это оказалось безнадежным делом.

    На данный момент я уже в процессе закрытия моего аккаунта на Amazon и миграции на службы Google, которые кажутся более устойчивыми к такого рода атакам.

    Я хотел бы посоветовать пользователям быть крайне осторожными с информацией, которую они размещают в своих аккаунтах. Ведь даже такой гигант как Amazon не может обеспечить должную защиту данных от различных хакерских атак.

    Оригинал данного поста и вы можете найти в блоге Эрика.
    ua-hosting.company
    Хостинг-провайдер: серверы в NL до 300 Гбит/с

    Комментарии 20

      0
      Я так прикинувшись коллегой восстанавливал доступ к аккаунту коллеги (который использовался для корпоративных целей). Так что это не только в плохую сторону работает (но опять же, возможность подобного не важно в каких целях это очень плохо).
        +6
        И что, вам предоставили доступ? Ужас какой…
          +1
          Да, всё успешно (по телефону меняли мобильный телефон и, кажется, отключали 2FA).
          Но я замечу, что коллега знал о всех этих действиях (до их начала).
            0
            Это ничего не меняет.
              0
              Я и не говорю что меняет
                –5
                заставляет задуматся о коллеге…
          +7
          Не устаю повторять простую истину:
          • Если у компании есть данные — она будет их использовать.
          • Данные обязательно утекут или будут предоставлены по судебному запросу
            0
            Чудесная истина и как с ней жить теперь по-вашему, если банк с вашим счетом -тоже компания и данные по вашей кредитке, cvv и pin тоже обязательно утекут, следуя вашей логике.
              +5
              А зачем следовать «моей» логике? Почитайте новости, у банков постоянно воруют. Банки — та еще дырень.
              А жить просто — оценивать безопасность каждого сервиса при публикации на него ценной информации.
              Меня немного смешит и пугает тенденция, когда пользователи «ради удобства» сохраняют данные своих карточек на каждом встречном-поперечном интернет-магазине. Нешто так сложно каждый раз ввести платежные реквизиты заново?
                0
                То что вы вводите реквизиты каждый раз заново не гарантирует что они не остаются где-то в недрах магазина…
                  +1
                  Верно. Но это уже вопрос доверия к сервису.
                  А «истина» она не про то, что «сервис плохой», она про то, что пофиг какой сервис — ваши данные все равно утекут.
                  +1
                  Поэтому логика простая. Заводим отдельную карточку для подобных платежей, при необходимости что-то оплатить переводим на эту карту деньги через удобный интернет-банк и все.
              +4
              Таков он человеческий фактор. В поддержку понабирают невнимательных людей, а ведь от них зависят наши персональные данные.
              Вообще интересная идея с «маячками», например публично в адрес добавлять несуществующий корпус здания и тогда можно определить откуда взят адрес.
              А на подобных сервисах, ввести такое понятие как «ложные признаки» по которым поддержка может определить что с ними общается скорей всего мошенник и реально не выполнять его просьбы, выдавать ложные данные в ответ.
                0
                Тогда однажды вам не смогут что-то доставить/зарегистрировать и т.п., где-то да отвалится из-за неправильного адреса, а где-то вы вообще такой ввести не сможете.

                А ложные признаки вам же и навредят однажды в срочной ситуации, скажете кличку кота вместо собаки по ошибке в момент вылета когда срочно надо оплатить билет, банк скажет, что карту вам разблокировал, а на самом деле ничего не сделает и никуда вы не улетите, а ведь это может быть последний самолёт.
                +8
                Расскажу удивительную историю про техподдержку, которая случилась со мной буквально неделю назад. Так получилось, что сейчас я использую один довольно известный российский сервис электронной почты. Когда появилась возможность использовать двухфакторную авторизацию, я сразу привязал мобильный телефон и обрадовался, ведь о безопасности моей почты заботятся.

                Неделю назад мне стало приходить большое количество СМС с кодом для авторизации, что выглядит очень странно. Я решил последовать классическому совету и написать в техподдержку. Пришлось ждать ответ довольно долго, но он оказался бесполезен: мне прислали обычную памятку по безопасности аккаунта и посоветовали использовать двухфакторную авторизацию (!). Я повторно задал вопрос:
                > Вчера я несколько раз столкнулся со следующей проблемой: я получаю СМС с кодом подтверждения для входа в аккаунт почты, при этом в это время я не делал попыток входа. Что это может значить?


                На который я получил замечательный ответ:
                К сожалению, однозначного ответа на этот вопрос дать нельзя.


                Хорошо, подумал я. Возможно, если я узнаю IP адреса, с которых проводились попытки авторизации, я смогу понять, что стало причиной такого поведения: ошибка приложения на моем устройстве или деятельность злоумышленника. На что я получил замечательный ответ:
                Информацию о том, с каких IP адресов осуществлялся вход в Ваш почтовый
                ящик, мы можем предоставить только по официальному запросу из уполномоченных правоохранительных органов.


                Казалось бы, есть техподдержка, но в этой ситуации она бесполезна.
                  0
                  Amazon и сам как мошенник действует. В прошлом счете визы обнаружил снятые деньги за сервис Amazon Prime, который был даже не был включен для моего аккаунта после этого.

                  Более того оказалось что такой же charge был сделан на аккаунтe жены и аккаунтe у ее подружки.

                  Пришлось чатится с сервисом и гневно требовать удалисть данные о карте, — они ведь даже не спрашивали никогда могут ли у себя хранить эти данные. Похоже придется дропнуть аккаунт.
                    +7
                    А, простите, автора публикующего не учили, как правильно оформлять переводную статью на хабре?

                    А то создаётся впечатление, что это его личные приключения.
                      0
                      Уже начал волноваться. Вчера на секунду этот посто промелькнул и исчез. Уж грешным делом подумал, что цензура )
                        0
                        Я переводил какое-то время назад статью, где тоже через дыру в поддержке Amazon, в паре с дырой в поддержке Apple, увели у парня вообще все онлайн аккаунты, и удаленно вайпнули все его девайсы.
                        habrahabr.ru/post/149179
                          +1
                          Aвтор нарушил одно из базовых требований при регистрации домена: всегда использовать private whois (даже если это стоит несколько лишних долларов год). Private whois доступен про регистрации доменов как минимум в зонах com, net, org.

                          Тем не менее, саппорт Амазона проявил себя не лучшим образом.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое