  |
Amazonカスタマーサービスが個人情報を流出させてる件が話題になってるね。
電話問い合わせとか、直接窓口に言って聞き出すのって、ソーシャルエンジニアリングの基本だけど、これ仕様バグだよね。
実は、ワシントン州シアトルあたりに住んでるEricさんの方が被害がひどい。
https://medium.com/@espringe/amazon-s-customer-service-backdoor-be375b3428c4#.shr23h4my
これで、本人確認が終わって、最後に注文した商品と、その送り先、電話番号、ギフトカード残高が漏れてる。
(クレジットカード番号は、下2桁であっても教えてない)
http://d.hatena.ne.jp/canadie/20160125
これで、本人確認が終わって、注文の商品、その送り先(実住所)が漏れてる
そうなんだけど、漏れ方の問題で、バグってんのは「本人確認」の部分。
つまり、Amazon側も「本人だとみなすけど、この本人確認でOKなのは注文まで」という段階が有ることがわかる。
Amazonは、住所と名前とメールアドレスで、注文情報が引っ張れる。
これは、微妙なラインだけど脆弱性っぽい。そもそもログインさせるべき。
チャットがログインに誘導させるか、パスワード不明な場合は再発行させるべき。
(注文情報をAmazonがどうみなすかわかんないけど、特に電子書籍のような「今何を読んでるか」は思想信条に関わるから、結構すぐ改善されるかも)
で、こっちが判りづらいんだけど、
例えば、本名と住所Aを知ってる相手に、Amazonが住所Aを教えた。同じ住所だから、これは別に問題ない。
という点が問題。
例えば、ゆるい会社だと、職場にAmazonから荷物送ってもらってる同僚がいそうだ。
そしたら、会社の住所と、そいつの名前と、使ってそうなメアドで、自宅住所が解る。
住所Aを伝えられたら、住所Aに関わる注文だけ答えて、あとは「登録住所に到着済みです」「配送中です」だけで良いと思うんだよね。
住所Aで「本人確認OK」にして、いきなり住所Bまでバラすから問題。
ただ、「Amazonの登録住所を知ってる」というのは、ハードル高い。
それで自宅の方は知らないってかなりのレア度。だから、こっちは改善されない可能性高いと思うな。
(アメリカ滞在中に知人がホテルにAmazonから受け取ってた。自宅の住所は知らないけど、知りたい、みたいなパターン)
たぶんだけど、小売で電話応対のマニュアルをそのまんまチャット側に持ってきてるんじゃないかなー。
まあ、とりあえず彼氏彼女や妻や夫、同居の娘息子に内緒で、趣味の物品Amazonから購入してるヤツは、メアドは変えとけ、な?
7
