2016-01-26

Amazon個人情報流出させるのは仕様バグ

今日Amazonから荷物買ってるかい

Amazonカスタマーサービス個人情報流出させてる件が話題になってるね。

電話問い合わせとか、直接窓口に言って聞き出すのって、ソーシャルエンジニアリングの基本だけど、これ仕様バグだよね。

事例その1と2

アメリカエリックさんの場合

実は、ワシントン州シアトルあたりに住んでるEricさんの方が被害がひどい。

https://medium.com/@espringe/amazon-s-customer-service-backdoor-be375b3428c4#.shr23h4my

  1. Amazon登録済み:本名
  2. Amazon登録?:昔登録に使った偽物の住所。但し郵便番号は同じ。
  3. Amazon登録済み:メールアドレス

これで、本人確認が終わって、最後に注文した商品と、その送り先、電話番号ギフトカード残高が漏れてる。

クレジットカード番号は、下2桁であっても教えてない)

日本id:canadieさんの場合

ワリと、常識的対応に見えるものの、こっちも漏れてる。

http://d.hatena.ne.jp/canadie/20160125

  1. Amazon登録済み:本名
  2. Amazon登録済み:メールアドレス
  3. Amazon登録済み:試しに登録したフェイク住所

これで、本人確認が終わって、注文の商品、その送り先(実住所)が漏れてる

個人情報流出じゃないの?

そうなんだけど、漏れ方の問題で、バグってんのは「本人確認」の部分。

  1. 本名
  2. 住所
  3. メールアドレス

この3つ、結構知人友人だと知ってる人いるかもしれない。

これで「Amazonからは本人とみなす」ようになる。

その代わり、クレジットカード情報は、伝えない。

まりAmazon側も「本人だとみなすけど、この本人確認でOKなのは注文まで」という段階が有ることがわかる。

秘密情報である住所Aで、他の秘密情報である住所Bを引き出せる

これ、普通に仕様バグだと思うんだよね。

Amazonは、住所と名前メールアドレスで、注文情報が引っ張れる。

これは、微妙ラインだけど脆弱性っぽい。そもそもログインさせるべき。

チャットログイン誘導させるか、パスワード不明場合は再発行させるべき。

(注文情報Amazonがどうみなすかわかんないけど、特に電子書籍のような「今何を読んでるか」は思想信条に関わるから結構すぐ改善されるかも)

で、こっちが判りづらいんだけど、

例えば、本名と住所Aを知ってる相手に、Amazonが住所Aを教えた。同じ住所だから、これは別に問題ない。

という点が問題

例えば、ゆるい会社だと、職場Amazonから荷物送ってもらってる同僚がいそうだ。

そしたら、会社の住所と、そいつ名前と、使ってそうなメアドで、自宅住所が解る。

ただこれ、改善されない可能性高いよ

住所Aを伝えられたら、住所Aに関わる注文だけ答えて、あとは「登録住所に到着済みです」「配送中です」だけで良いと思うんだよね。

住所Aで「本人確認OK」にして、いきなり住所Bまでバラすから問題

ただ、「Amazon登録住所を知ってる」というのは、ハードル高い。

それで自宅の方は知らないってかなりのレア度。だから、こっちは改善されない可能性高いと思うな。

アメリカ滞在中に知人がホテルAmazonから受け取ってた。自宅の住所は知らないけど、知りたい、みたいなパターン

たぶんだけど、小売で電話応対のマニュアルをそのまんまチャット側に持ってきてるんじゃないかなー。

まあ、とりあえず彼氏彼女や妻や夫、同居の娘息子に内緒で、趣味の物品Amazonから購入してるヤツは、メアドは変えとけ、な?

そりゃ、家族みたいな間柄なら、本名と住所までは簡単で、後はメアドけが最後の砦なんだし。

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん