Amazon’s customer service backdoor

Wow. Just wow. The attacker gave Amazon my fake details from a whois query, and got my real address and phone number in exchange. Now they had enough to bounce around a few services, even convincing my bank to issue them a new copy of my Credit Card.

Amazon’s customer service backdoor

Rien de neuf, on a déjà vu des récits de comptes twitter piratés et de commandes VPC reroutées, voire de vraies usurpations d’identité. C’est désormais à chaque fois via de l’ingénierie sociale.

Les questions « secrètes » sont de la bonne blagues et un peu de culot accompagnés d’un téléphone permettent d’à peu près tout savoir via votre famille ou vos amis. Les supports techniques de vos différents prestataires ont tellement d’informations sur vous qu’ils sont des cibles privilégiées.

De fil en anguille, en récupérant un bout chez l’un, un autre bout chez l’autre, on peut remonter jusqu’à avoir quelque chose de fort.

Peu de solutions. Très peu de gens sont prêts à se faire éjecter de leurs services et de leurs données s’ils ont simplement changé d’adresse et oublié de la mettre à jour, ou perdu leur mot de passe de l’ancien compte email, etc. Les service de support client ne font que ce que tout le monde attend.