Niezależnie od popularności rodzimego Allegro, przede wszystkim ze względu na asortyment, do zakupów internetowych w Polsce wykorzystywany jest także Amazon. A kupowanie tam stało się jeszcze popularniejsze w związku uruchomieniem darmowych dostaw do Polski na Amazon.de. Okazuje się jednak, że zabezpieczenia stosowane przez sklep pozostawiają wiele do życzenia.
Luka w bezpieczeństwie Amazona to standardy bezpieczeństwa Amazona
Przykre doświadczenia są tym ciekawsze, że spisał je Eric Springer, człowiek który pracował w Amazonie jako programista. Jakiś czas temu otrzymał on od działu kontaktu z klientem Amazona informację zawierającą podziękowanie za nawiązanie kontaktu. Z początku Springer myślał, że jest to efektem błędu systemu lub opóźnień. Przez dłuższy czas nie kontaktował się bowiem z firmą.
Był zatem zapewne mocno zaskoczony, gdy w odpowiedzi na maila z prośbą o wyjaśnienia otrzymał odpowiedź zawierającą zapis rozmowy. Oczywiście z obsługą Amazona rozmawiała osoba, która podawała się za Springera w celu przejęcia jego konta i danych. Springer nie zawahał się wskazać w systemie zabezpieczeń backdoora: ma to być właśnie obsługa klienta. A w rzeczywistości standardy, które zostały przekazane konsultantom firmy od wyżej postawionych osób. Tym samym konsultantom, na których mogą trafić Polacy w razie problemów z usługami świadczonymi choćby przez Amazon.de.
Podszywający się posiadał o Springerze podstawowe informacje, które mógł uzyskać dzięki zapytaniu whoise dotyczącym posiadanych przez niego domen internetowych. Na podstawie adresu IP atakujący mógł mało precyzyjnie określić adres ofiary. Podczas weryfikacji użytkownika podszywający się podał fałszywy adres, który jednak był wystarczająco precyzyjny dla geolokalizacji adres IP. Weryfikacja została przeprowadzona pomyślnie mimo błędnych (zapewne w standardach Amazona istnieje jakiś margines) danych. Co więcej, atakujący zapytał w dalszej części rozmowy o adres dostawy i uzyskał precyzyjny, prawdziwy adres Springera.
W ten sposób uzyskał informacje, które według Springera, są wystarczające do otrzymania duplikatu karty kredytowej w jego banku. Atakujący wypytał także konsultanta o takie detale jak saldo karty podarunkowej czy informacje o ostatnim zakupie w Amazonie. Każdorazowo otrzymując z pewnością satysfakcjonującą go odpowiedź.
Do trzech razy sztuka
Oczywiście Springer poinformował Amazona o całym zajściu, informując o swojej wcześniejszej pozycji w firmie i poprosił o oznaczenie jego konta w celu wyłączenia możliwości uzyskania odpowiedzi na jakiekolwiek pytanie o własne dane. Z zainteresowanym miał się także w ciągu kilku dni skontaktować „specjalista”, co jednak nigdy się nie zdarzyło. Po kilku miesiącach powtórnie zdarzył się za to atak.
O ile bowiem Springer mógł zmienić dane logowania i inne informacje weryfikacyjne, to trudno zakładać, aby z powodu ataku miał się przeprowadzać. Nie zdecydował się też na usunięcie swojego adresu z danych Amazona mimo, że atakujący posiadał już prawdziwe (a nie jak dotychczas ogólne, uzyskane dzięki whois) dane dotyczące adresu korespondencyjnego. Nic zatem dziwnego, że podszywająca się osoba stała się bardziej zuchwała i przy ponownej próbie kontaktu, o której Springer został jak za pierwszym razem powiadomiony mailowo po jej zakończeniu, poprosił o ostatnie cztery cyfry numery karty kredytowej.
Chociaż w tym jednym przypadku procedury Amazona nie zawiodły i konsultant odmówił udzielenia odpowiedzi. Zaoferował natomiast atakującemu możliwość potwierdzenia cyfr, jeżeli ten sam je napisze. Atak zakończył się zatem niepowodzeniem, podobnie jak wcześniejsze prośby Springera o zastosowanie wobec jego konta szczególnych procedur bezpieczeństwa.
A to nie koniec. Doszło bowiem do trzeciej próby przejęcia danych, atakujący zapewne zdał sobie sprawę, że osoba, pod którą się podszywa jest świadoma procederu , w związku z czym zmienił kanał komunikacji. Skontaktował się z Amazonem telefonicznie, a w ramach procedur firmy, Springer nie mógł później otrzymać nagrania rozmowy. Oczywiście przelało to czarę goryczy atakowanego, przez co zdecydował się on na całkowite zakończenie korzystania z usług Amazona oraz szereg działań w banku, które mają go uchronić przed fałszywie autoryzowanymi transakcjami.
Trzeba oczywiście zaznaczyć, że błędy w standardach bezpieczeństwa Amazona nie wynikają najpewniej z wyborów samych konsultantów, a obowiązujących ich procedur. Nie zmienia to faktu, że w świetle doniesień Springera, całkiem uzasadnione wydaje się na wskazanie ogromnej dziury w zabezpieczeniach usług tej firmy. Jak to bywa w przypadku spektakularnych wpadek, jest nią czynnik ludzki.
