Over helgen en historie dukket opp på Medium som vil gjøre enhver Amazon bruker wince. I henhold til kundens Eric Springer, alle som en hacker behov for å låse opp hele jævla livet er ditt navn, e-postadresse, og e-post adresse og e-post adresse trenger ikke engang å være korrekt.
Her er historien: for Fire måneder siden Springer mottatt en e-post fra Amazon takke ham for å kontakte kundeservice. Hvordan høflig! Det eneste problemet var, Springer ikke hadde faktisk kontaktet Amazon i det hele tatt.
Springer var plaget av auto-svar e-post svar fikk han, så han nådd ut til Amazon, og klarte å få tak i transkripsjonen. Han oppdaget at en sosial ingeniør—en hacker, var utgir seg for å være ham for å få tilgang til kritiske konto informasjon på Amazon.
Kicker er at den adressen som ble oppgitt til Amazons kundeservice, var ikke engang Springer virkelige hjem. Det var en falsk adresse han brukte til å registrere nettsteder på nettet. Likevel med som en bekreftelse, hacker klarte å få Springer virkelige adressen. Med Springer fast bosted, sin e-postadresse, og hans navn, hacker kunne gjøre en god bit av skade.
Springer informert Amazon av den kolossale feil på deres del, og selskapet har lovet å forbedre sikkerheten. Eric antatt han var ferdig med rot—helt til han fikk en e-post fra Amazon i forrige uke.
Sponset
Igjen spurte han om transkripsjonene. Og igjen, det viste at alle en hacker som trengs for å få tilgang var et navn, e-postadresse, og e-post adresse. Eric er bare lettelse var det å se at hacker klarte ikke å få en kreditt kort nummer ut av at de svært nyttig kundeservice representant. Det er en forbedring fra 2012, når hackere sosialt konstruert at informasjon ut av en kundeservice representant og fått tilgang til online-livet på Gizmodo-alum Matt Honan.
Nysgjerrig på å reprodusere Eric ‘ s historie, Redditor bot-vladimir prøvd hack som godt. De brukte adressen til et nærliggende hotell og Amazon raskt ga over de redditor er virkelige adresse, mye å bot-vladimir er skuffelse.
Men i min egen rettssak, ble jeg møtt med mye mindre suksess. Jeg har en gammel adresse som er offentlig tilgjengelig for alle på nettet takket være WhoIs, så jeg ga hack en gå. Amazon Kundeservice Representant så ut til å plukke opp på min svindel raskt og slått meg ned flatt når jeg gitt den gamle adressen. Så, etter å ha gitt dem min faktiske adresse, de nektet å gi ut mer informasjon før vi hadde en prat på telefonen.
Så det virker suksess er helt avhengig av kundeservice rep du skje for å være snakket til. Husk at dette er en ganske vanlig mål for sosial ingeniør hacks. Den største sårbarheten er ikke et passord eller en e-postadresse, det er de gullibility av personen på den andre enden av linjen.
Den beste måten å beskytte deg selv±foruten å unngå internett-helt—er å bruke en e-postadresse du er bra med kringkasting over internett. Det kan være din office, en lokal FedEx eller UPS store, eller en Amazon skapet. Ta deg tid til å sette opp to-trinns bekreftelse for. På den måten hackere har minst ett mer hoop de har for å få gjennom før læring der du sover om natten.
Vi har nådd ut til Amazon for kommentar på historien, og vil gi deg en oppdatering. For å nå denne fortellingen fungerer som en flott påminnelse om at selv de beste passord og mest nøye plottet online liv er ikke immune mot en veldig kunnskapsrike og bestemt sosial ingeniør.
[Middels via Reddit]