INFO Clubic – Đó là một lỗ hổng zero day đáng lo ngại. Có khả năng là tin tặc đã quản lý, và một số lời khai, vượt qua hệ thống xác minh hai yếu tố của khách hàng để đặt hàng giả bằng tên của họ và bỏ túi chiến lợi phẩm.
Kể từ đầu tháng 6, một số người dùng Internet đã phải ngạc nhiên khi phát hiện ra rằng tài khoản của họ Amazon đã bị tấn công và hoạt động này đã cho phép các cá nhân độc hại đặt các đơn đặt hàng được coi là đã được giao và ghi nợ ngay lập tức. Lỗ hổng zero-day này càng đáng lo ngại hơn vì những người dùng đã báo cáo rằng nó được hưởng lợi từ xác thực hai yếu tố (A2F), được cho là bất khả xâm phạm.
Đọc thêm:
Hoa Kỳ buộc tội Julian Assange là âm mưu với cướp biển
Các đơn đặt hàng (mà khách hàng không biết) đã đặt và xuất hiện như đã được giao
Lỗ hổng mà chúng tôi đang nói đến đã được một số người dùng Internet báo cáo cho chúng tôi, với các bằng chứng hỗ trợ. Để minh họa điều đó một cách đơn giản nhất có thể, chúng tôi đang chuyển tiếp lời chứng thực của khách hàngAmazonmột số trong số đó nhạy cảm với các rủi ro an ninh mạng, mà chúng tôi sẽ gọi cho người đầu tiên trong số đó là Martial (kể từ ngày 30 tháng 6), để giữ kín danh tính của anh ấy.
Vài ngày trước, Martial nhận được thông báo trên điện thoại di động của mình từ ứng dụng Amazon, thông báo cho anh ta về một kết nối được tạo từ một máy Mac ở Paris. Ngoại trừ việc Martial không sống ở Paris. Khi nghi ngờ, anh ta cắt kết nối và thay đổi mật khẩu của mình. Và Martial là một trong những người may mắn.
Người hàng xóm của anh ta, người mà chúng ta sẽ gọi là Thierry (để tưởng nhớ vào ngày 1 tháng 7), đã nhận được một thông báo giống hệt, rõ ràng là đáng ngờ. Ngoại trừ điều đó vào đầu tuần, một khách hàng khác củaAmazon nhận được thông báo nổi tiếng cho thấy có mối liên hệ với bên thứ ba, và anh ấy sẽ không may mắn như Martial và Thierry. Thomas nhận thấy rằng một đơn đặt hàng đã được thực hiện bằng tên của anh ấy, trên tài khoản của anh ấy, với trạng thái “Đã giao” kèm theo đơn hàng đã có trong danh sách các đơn hàng được lưu trữ. Kết quả cuộc đua: 400 euro bài báo.
Đọc thêm:
Xe ô tô tự lái: Amazon mua lại Zoox với giá hơn 1 tỷ đô la
Việc sử dụng sai quy trình xác thực hai yếu tố rất đáng lo ngại
Trước khi phát triển thêm, hãy xem xét tình hình:
- Ở đây chúng tôi có một người bán giả mạo (trong số đó có hàng trăm Amazon) bán một mặt hàng với giá thường cao hơn giá trị thực của nó.
- Sau đó, một lỗ hổng zero-day (có nghĩa là vẫn chưa được phát hiện), cho phép kết nối với một tài khoản Amazon. Làm rõ được thực hiện: kết nối thậm chí được thực hiện với A2F. Điều đặc biệt nghiêm trọng, đáng sợ thậm chí, Martial, người về phần mình đã đảm bảo an ninh tối đa (thông qua hasibeenpwned và howsecureismypassword) cho biết.
- Sau đó, người mua giả mạo, một lần vào tài khoản của khách hàng, đặt hàng sản phẩm, sản phẩm này đã được gửi đi trong vài ngày và sau đó được người bán giao hàng, như thể là một phép màu.
- Cuối cùng, đơn đặt hàng ngay lập tức được ghi nợ và người bán giả biến mất.
Một dấu vết của vụ hack cũng có thể được tìm thấy trên Reddit, nơi một người dùng tuyên bố là nạn nhân của cùng một quy trình không trung thực từ A đến Z, đã mất 366 đô la trên một chiếc giường nằm không bao giờ được đặt hàng, một lần nữa với quy trình xác thực kép.
Đằng sau những tin tặc, có những lời đề nghị từ các tài khoản của những người bán tự xưng là có trụ sở tại Trung Quốc, tên thường kỳ cục, giống như một chuỗi các ký tự, “IXINCHENGQUZHENZHOUB” hoặc “HIXIANSIYANGBAI. Các sản phẩm được những người bán này “liệt kê” xoay vòng thường xuyên trên nền tảng và các ưu đãi dường như không bao giờ trực tuyến quá một vài tuần. Bản thân các nhà cung cấp rất nhiều. Thông thường, chúng tôi tìm thấy đề cập “Vừa được phát hành” trên trang của người bán.
Đọc thêm:
Đối với tương lai của dịch vụ Đám mây, Amazon nhìn lên các vì sao
Cướp biển đã chuẩn bị kỹ lưỡng
Về việc gửi trạng thái của đơn đặt hàng, xuất hiện như đã được giao đến trước mắt khách hàng trong khi người sau hoàn toàn không biết về sự tồn tại của đơn đặt hàng, các tin tặc có thể đã lên kế hoạch theo dõi sai, có nghĩa là có thể các thư được theo dõi. không yêu cầu chữ ký và đã được gửi đến một địa chỉ ngẫu nhiên trước đó, để khi đơn đặt hàng được đặt trên Amazon sau đó kích hoạt theo dõi, trạng thái của đơn đặt hàng xuất hiện trực tiếp là “đã giao”.
Và không chỉ thị trường Pháp sẽ bị ảnh hưởng. Một số cửa hàng tìm thấy sự biến đổi của họ trên các miền Anh, Ý, Tây Ban Nha, Hà Lan hoặc Đức của gã khổng lồ Mỹ.
Và chúng tôi thậm chí còn tìm thấy dấu vết của một số phiếu mua hàng nhất định được xuất bản trên Amazon bên Aliexpress có dòng chữ và sản phẩm giống hệt hàng thuộc các shop lừa đảo. Trên Aliexpress, trang không còn tồn tại, ngay cả khi nó vẫn được tham chiếu trong các công cụ tìm kiếm.
Cần lưu ý rằng theo thông tin của chúng tôi, các khách hàng bị hại (lúc này chưa đầy mười người được biết đến) đều nhanh chóng được hoàn tiền bởi Amazonvà việc thay đổi mật khẩu (do đó chúng tôi khuyến nghị, như một biện pháp phòng ngừa) đã chấm dứt vấn đề. Chúng tôi chỉ có thể tư vấn cho bạn, nếu bạn đã lưu một phương thức thanh toán mặc định trên Amazon (hoặc trên các trang web khác), để xóa nó.
Cụ thể là 👍
- Chúng tôi đã nhận được một số lời chứng thực khác kể từ khi bài báo được xuất bản, bao gồm một số lời chứng thực từ những người dùng rất hiểu biết, chẳng hạn như nhà phát triển web, những người cũng xác nhận rằng gần đây đã nhận được thông báo về kết nối qua tài khoản của họ. Amazon từ một thiết bị đầu cuối khác, nằm ở thành phố khác.
- Đối với một số lời chứng thực mà chúng tôi có thể thu thập, một số khách hàng củaAmazon cho chúng tôi biết rằng họ đã kích hoạt 2FA qua số điện thoại của họ chứ không phải ứng dụng xác thực tài khoản.
- Dường như không có vấn đề gì với hoán đổi sim ở một số người dùng bị thương.
Liên hệ với Clubic, công ty Amazon cho chúng tôi biết rằng cho đến nay, nó vẫn chưa được biết về một lỗi có thể xảy ra.
