Poważna luka w standardach bezpieczeństwa Amazonu

Poważna luka w standardach bezpieczeństwa Amazonu26.01.2016 16:37

Niezależnie od popularności rodzimego Allegro, przede wszystkim ze względu na asortyment, do zakupów internetowych w Polsce wykorzystywany jest także Amazon. A kupowanie tam stało się jeszcze popularniejsze w związku uruchomieniem darmowych dostaw do Polski na Amazon.de. Okazuje się jednak, że zabezpieczenia stosowane przez sklep pozostawiają wiele do życzenia.

Luka w bezpieczeństwie Amazona to standardy bezpieczeństwa Amazona

Przykre doświadczenia są tym ciekawsze, że spisał je Eric Springer, człowiek który pracował w Amazonie jako programista. Jakiś czas temu otrzymał on od działu kontaktu z klientem Amazona informację zawierającą podziękowanie za nawiązanie kontaktu. Z początku Springer myślał, że jest to efektem błędu systemu lub opóźnień. Przez dłuższy czas nie kontaktował się bowiem z firmą.

Był zatem zapewne mocno zaskoczony, gdy w odpowiedzi na maila z prośbą o wyjaśnienia otrzymał odpowiedź zawierającą zapis rozmowy. Oczywiście z obsługą Amazona rozmawiała osoba, która podawała się za Springera w celu przejęcia jego konta i danych. Springer nie zawahał się wskazać w systemie zabezpieczeń backdoora: ma to być właśnie obsługa klienta. A w rzeczywistości standardy, które zostały przekazane konsultantom firmy od wyżej postawionych osób. Tym samym konsultantom, na których mogą trafić Polacy w razie problemów z usługami świadczonymi choćby przez Amazon.de.

Podszywający się posiadał o Springerze podstawowe informacje, które mógł uzyskać dzięki zapytaniu whoise dotyczącym posiadanych przez niego domen internetowych. Na podstawie adresu IP atakujący mógł mało precyzyjnie określić adres ofiary. Podczas weryfikacji użytkownika podszywający się podał fałszywy adres, który jednak był wystarczająco precyzyjny dla geolokalizacji adres IP. Weryfikacja została przeprowadzona pomyślnie mimo błędnych (zapewne w standardach Amazona istnieje jakiś margines) danych. Co więcej, atakujący zapytał w dalszej części rozmowy o adres dostawy i uzyskał precyzyjny, prawdziwy adres Springera.

W ten sposób uzyskał informacje, które według Springera, są wystarczające do otrzymania duplikatu karty kredytowej w jego banku. Atakujący wypytał także konsultanta o takie detale jak saldo karty podarunkowej czy informacje o ostatnim zakupie w Amazonie. Każdorazowo otrzymując z pewnością satysfakcjonującą go odpowiedź.

Do trzech razy sztuka

Oczywiście Springer poinformował Amazona o całym zajściu, informując o swojej wcześniejszej pozycji w firmie i poprosił o oznaczenie jego konta w celu wyłączenia możliwości uzyskania odpowiedzi na jakiekolwiek pytanie o własne dane. Z zainteresowanym miał się także w ciągu kilku dni skontaktować „specjalista”, co jednak nigdy się nie zdarzyło. Po kilku miesiącach powtórnie zdarzył się za to atak.

O ile bowiem Springer mógł zmienić dane logowania i inne informacje weryfikacyjne, to trudno zakładać, aby z powodu ataku miał się przeprowadzać. Nie zdecydował się też na usunięcie swojego adresu z danych Amazona mimo, że atakujący posiadał już prawdziwe (a nie jak dotychczas ogólne, uzyskane dzięki whois) dane dotyczące adresu korespondencyjnego. Nic zatem dziwnego, że podszywająca się osoba stała się bardziej zuchwała i przy ponownej próbie kontaktu, o której Springer został jak za pierwszym razem powiadomiony mailowo po jej zakończeniu, poprosił o ostatnie cztery cyfry numery karty kredytowej.

Chociaż w tym jednym przypadku procedury Amazona nie zawiodły i konsultant odmówił udzielenia odpowiedzi. Zaoferował natomiast atakującemu możliwość potwierdzenia cyfr, jeżeli ten sam je napisze. Atak zakończył się zatem niepowodzeniem, podobnie jak wcześniejsze prośby Springera o zastosowanie wobec jego konta szczególnych procedur bezpieczeństwa.

A to nie koniec. Doszło bowiem do trzeciej próby przejęcia danych, atakujący zapewne zdał sobie sprawę, że osoba, pod którą się podszywa jest świadoma procederu , w związku z czym zmienił kanał komunikacji. Skontaktował się z Amazonem telefonicznie, a w ramach procedur firmy, Springer nie mógł później otrzymać nagrania rozmowy. Oczywiście przelało to czarę goryczy atakowanego, przez co zdecydował się on na całkowite zakończenie korzystania z usług Amazona oraz szereg działań w banku, które mają go uchronić przed fałszywie autoryzowanymi transakcjami.

Trzeba oczywiście zaznaczyć, że błędy w standardach bezpieczeństwa Amazona nie wynikają najpewniej z wyborów samych konsultantów, a obowiązujących ich procedur. Nie zmienia to faktu, że w świetle doniesień Springera, całkiem uzasadnione wydaje się na wskazanie ogromnej dziury w zabezpieczeniach usług tej firmy. Jak to bywa w przypadku spektakularnych wpadek, jest nią czynnik ludzki.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na