Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明
ウェブサービスに登録したアカウントを守るために、自動生成パスワードや2段階 認証を使うといった方法を用いることが多いものですが、時には思いもよらぬところが抜け穴になってしまうこともあるようです。Amazonのサービスを利用していた「Eric」というユーザーは、自身のアカウント情報がAmazonの問い合わせ窓口であるカスタマーサービスを経由して流 出していたことを突き止め、どれだけログイン情報のセキュリティを高めても、 効果がない場合もあることを明らかにしています。
ソフトウェアエンジニアのEricさんは、AmazonのオンラインショッピングだけでなくAmazon Web Services(AWS)のヘビー ユーザーで、「Amazonはセキュリティに 信頼を置ける数少ない企業だった」と語り、同社のセキュリティに関して何の不満も抱いていませんでしたが、ある出来事をきっかけにその信頼を失ってしまったそうです。
ある日、AmazonからEricさんのもとに「 弊社のカスタマーサービスのご利用ありがとうございました」という身に覚えのないメールが届きました。EricさんはAma zonのメール送信ミスか、かなり前に行ったサポートセンタとのやり取りに関するメールが遅れて送信されたものと考え、 最初はあまり気にしていなかったとのこと。しかし、何に関するメールなのか気 になったEricさんがカスタマーサービスに連絡をとったところ、「Ericさんのアカウントから、チャット型サポートサービスで商品の発送に関する問い合わせをしていた」という事実が判明します。
何のことかよくわからなかったEricさんはAmazonにチャットのコピーを送ってほしいと要求。実際に送られてきた会話の内容が、以下のスクリーンショットで公開されています。
http://i.gzn.jp/img/2016/01/25/amazon-customer-service-backdoor/002.png
Ericさんの名前をかたるユーザーが「最後に購入した荷物が配送されたか知りたい 」と尋ねると、サポートセンターの担当者は連絡をとってきた人物がEricさんかどうかを確かめるため「アカウント名」「 メール」「請求書先住所」を質問。会話記録を見ると、ユーザーが回答した上で担当者が問題ないと判断したことがわかります。しかし、Ericさんによると、ユーザ ーが答えた住所は、エリックさんが以前にWHOISのデータベースのドメイン登録で複数回使用したホテルの住所であり、 本当の住所ではありません。ただし、エリックさんが使用したホテルの住所は、Amazonに登録されている請求書先住所と同じ郵便番号のエリアにあり、ホテルの住所と請求書先住所のIPアドレスが一致 するはずとのこと。
以下ソース
http://gigazine.net/news/20160125-amazon-customer-service-backdoor/