Служба поддержки клиентов, бэкдор от Amazon

Мог бы сознательный пользователь в вопросах безопасности, использующий лучшие практики — уникальные пароли, двухфакторную авторизацию, использование только своего надежного компьютера для входа и способность определять фишинговые сайты за милю — находиться в полной уверенности, что его счетам и персональным данным ничего не угрожает? Увы, нет.

78f74f95a82d42fdbe015c7cf17bbf85.jpg

Когда кто-то целенаправленно следит за Вами — все эти уловки становятся бесполезными. Дело в том, что большинство систем имеют в наличие бэкдор, пользовательскую поддержку. В этом посте я собираюсь сфокусироваться на самом злостном преступнике: Amazon. com. Это была одна из нескольких компаний, которым я мог бы доверить свои персональные данные. В конце концов, там я делаю покупки, а кроме того, раньше работал разработчиком программного обеспечения и потому считаю себя довольно крупным пользователем AWS (с оборотом более чем $600/месяцев).

Все началось с довольно безобидного письма на электронную почту.

64b6fdabe09249cea156888154f32897.png

Первое, что я предположил — это должно быть ошибка или запоздалое сообщение автоответчика (месяцем ранее я обращался в поддержку). Но любопытство взяло верх, я связался с Amazon, чтобы уточнить у них в чем дело. Они невозмутимо ответили, что я общался с поддержкой Amazon. Какого черта? Это была текстовая переписка, которую они смогли предоставить мне по электронной почте.

7400d4120dbe4debbcc135fccbbbc385.png

Позвольте отметить, адрес указанный в переписке не принадлежит мне. Это адрес отеля, чей почтовый индекс совпадает с моим. Я использовал его, чтобы зарегистрировать несколько доменов, зная, что информация в Whois слишком часто становится достоянием общественности. Для регистрации использовал район в котором живу, чтобы мой статический IP совпадал с данными, указанными в Whois.

Продолжаем:

c17fb3947077456fb8a884a3dda8aff0.png

Вау. Просто вау. Злоумышленник предъявил Amazon мои ложные данные, которые взял в Whois домена и взамен получил мой реальный адрес и номер телефона. Теперь они получили достаточно данных, чтобы заполучить и доступ к некоторым сервисам и даже убедить мой банк выдать новую копию моей кредитной карты. Было весьма трудно сдерживать себя, чтобы не выплеснуть все негодование на поддержку. Я связывался с Amazon Retail и AWS, выражая мое разочарование и просил их установить пометку в моем аккаунте, что риск взлома и входа в учетную запись очень высок. Amazon Retail сказали, что они установят пометку в моей учетной записи и со мной свяжется специалист (который так и не вышел на связь). В то же время AWS игнорировал существующий риск.

Быстро перемотав события на пару месяцев вперед, я допустил ужасную ошибку и подумал, что угроза уже позади. Я предоставил Amazon свежие данные по кредитной карте и новые адресные данные. Взамен получил еще одно письмо.

e81e83019f3c450aa4a72896460145b0.png

Я опять обратился в службу поддержки Amazon, чтобы разобраться, что происходит. На сей раз мне посчастливилось пообщаться с сотрудником поддержки, который на все 100% не понимал, как такое возможно, чтобы от моего имени выступал кто-то другой. Мне было по-истине сложно сдерживаться, когда он начал рассказывать, что нужно сменить пароль, чтобы таких ситуаций с «двойниками» не возникало в дальнейшем. В конце концов мне пришлось признать, что это был «я» и требовать от него распечатку «моего» диалога (и он все же смог ее предоставить).

60fe3fdbc05b4fbbbff745acf18a3c7e.png
83205551da1d466c9030f1cb9619aa82.jpg

Далее злоумышленник проявляет безуспешные попытки получить последние 4 цифры моей кредитной карты.

4c96a3cd4c4e4bf8a9b31f6ecf4ec7ec.jpg

Предполагаю, мне крупно повезло, что Amazon не выдал данные по моей кредитной карте. И снова связываюсь с поддержкой, повторяя насколько важно не передавать мои данные другим личностям. Они снова обещают, что добавят заметку к моему аккаунту и со мной свяжется специалист (и опять таки — никакого специалиста).

На этот раз я решил, что не могу доверять Amazon свои адресные данные и пора бы удалить его с моего аккаунта.

Теперь переходим ко второму дню моих приключений с Amazon:

67e2e4cf0bb1484d97612cf2b52d44ac.png

На этот раз я не смог получить распечатку диалога, так как злоумышленники связались с Amazon по телефону и у них не сохранилось записи. Я с ужасом подумал, что теперь то злоумышленникам удалось получить последние цифры моей кредитной карты. Как выяснилось позже, опасения были не напрасны.

На этот раз Amazon окончательно предал мое доверием к ним (а если точнее — уже трижды!). Я сделал все, что было в моих силах, чтобы обеспечить необходимую защиту аккаунта. Но это оказалось безнадежным делом.

На данный момент я уже в процессе закрытия моего аккаунта на Amazon и миграции на службы Google, которые кажутся более устойчивыми к такого рода атакам.

Я хотел бы посоветовать пользователям быть крайне осторожными с информацией, которую они размещают в своих аккаунтах. Ведь даже такой гигант как Amazon не может обеспечить должную защиту данных от различных хакерских атак.

Оригинал данного поста и вы можете найти в блоге Эрика.

© Habrahabr.ru