»… de fleste systemer kommer med en bagdør, kundesupport.«

Som følge af manglende verifikation hos Amazons kundesupport blev Eric Springer gentagne gange udsat for identitetstyveri, fortæller han i et blogindlæg.

Hvem behøver bagdøre, når vi har Amazons kundesupport? Sådan kunne overskriften på et personligt indlæg fra Eric Springer bragt ved medium.com måske lyde. Han har dog valgt at kalde fortællingen 'Amazon’s customer service backdoor'.

Ifølge BoingBoing har Eric Springer en fortid som ingeniør hos Amazon, og han er flittig bruger af Amazons skytjeneste, AWS.

Ifølge Eric Springer selv er han i den sikkerhedsbevidste ende af it-brugerskalaen. Det vil blandt andet sige, han bruger unikke kodeord og to-faktorautentifikation.

Men det hele er dog forgæves, bemærker Springer.

»Det er, fordi de fleste systemer kommer med en bagdør, kundesupport. I dette indlæg vil jeg fokusere på den groveste gerningsmand (eng. offender): Amazon.com,« skriver Springer.

Fortællingen tager sit udgangspunkt i en mail fra Amazons kundesupport. Det er en opfølgningsmail, hvor der kort og godt står: Hej, tak fordi du kontaktede os.

Ad flere omgange lykkedes det en ukendt bedrager af narre personlige oplysninger om Eric Springer fra Amazons kundesupport. (Kilde: https://medium.com/@espringe/amazon-s-customer-service-backdoor-be375b3428c4#.hv430osnn)

Springer kan ikke umiddelbart erindre, han har kontaktet Amazons kundesupport for nylig, og han tænker derfor, at det enten må være en fejl, eller at der måske er tale om en mail i forbindelse med en tidligere henvendelse, der blot har været lidt længe om at nå frem.

For at få tilfredsstillet sin nysgerrighed kontakter Eric Springer dog alligevel Amazon for at høre, hvad der ligger bag mailen. Amazon fortæller ham, at mailen udspringer af en samtale i form af en tekst-chat, Springer skulle have haft med kundesupport.

Amazon sender Springer en udskrift. Det viser sig, at det ikke er ham selv, der er i kontakt med Amazon, men en person, der giver sig ud for at være Springer. Af udskriften fremgår det, hvordan den falske Springer spørger om informationer vedrørende den seneste ordre, han har bestilt via Amazon.

For at bekræfte, at det er den ægte Springer i den anden ende, beder supporten i den forbindelse den falske Springer om at oplyse sin adresse.

Bedrageren sender en adresse til supportmedarbejderen. Det er dog ikke Springers rigtige adresse, men en falsk adresse, som er hentet via et whois-opslag på et domæne, som den ægte Springer ejer. Den falske adresse ligger dog i samme område som den rigtige adresse.

Eric Springer bemærker i den sammenhæng, at han har oplyst en falsk adresse til brug for domæneregistreringen, som ligger i samme postnummer som den ægte adresse. Springers begrundelse er, at han ikke stoler på, at whois-informationer ikke ender i fuld offentlighed.

Hvorom alting er, supportmedarbejderen godtager den falske adresse som en slags autentifikation og giver den falske Springer ordre-informationerne og et DHL-link med den adresse, ordren vil blive sendt til. På den måde lykkes det bedrageren at få fat i Springers rigtige adresse og telefonnummer. Og de oplysninger, fortæller Springer, bliver blandt andet brugt til at overbevise Springers bank om, at banken skal udstede et nyt kreditkort til bedrageren.

Den rigtige Eric Springer tager kontakt til Amazon og insisterer på, at hans konto får tilføjet en note med informationer om, at den er i en højrisikogruppe for at blive udsat for social engineering.

Et par måneder senere

Det til trods er den dog gal igen et par måneder senere. Igen modtager Springer en mail, der takker ham for at have taget kontakt til Amazon. Og igen kontakter han på den baggrund Amazon.

Springer får tilsendt endnu en udskrift af et kontaktforløb, han ikke har været en del af, men hvor en bedrager har udgivet sig for at være Springer. Denne gang har bedrageren også forsøgt at få Amazon til at oplyse de sidste fire cifre i kortnummeret på Springers betalingskort. Dog uden held.

Her har Springer helt mistet tilliden til, at Amazon kan passe på hans personlige oplysninger, hvorfor han sletter sin adresse fra Amazon. Igen beder Springer Amazon knytte en særlig advarsel til hans konto om risiko for social engineering.

Dagen efter

Allerede dagen efter får Springer på fornemmelsen, at der igen er problemer. Denne gang i form af en mail fra kundeservice med et link med ordreinfo. Og denne gang er det ikke muligt at få en udskrift fra Amazon, da kontakten er foregået telefonisk, og det er ikke muligt for Springer at få udleveret en optagelse af samtalen..

Forløbet har fået Springer til at lukke ned for sit Amazon-engagement. Han slutter indlægget med en stribe anbefalinger for at dæmme op for den form for svindel.

  • lad være med at tilbyde kundesupport, med mindre brugeren er i stand til at logge ind på sin konto

  • vis supportmedarbejdere IP-adressen på personen, der kobler op. Er det den sædvanlige? VPN/Tor?

  • mail-tjenester bør gøre det muligt at lave en masse aliasser. I den forbindelse fortæller Eric Springer, at hans bedste forsvar mod social engineering lige nu er en fastmailkonto, hvorfra han kan generere et mail-alias pr. tjeneste, han bruger.

  • »Please, gør beskyttelse af whois til standard,« lyder den sidste bøn fra Springer, der tilføjer, at hans egne whois-oplysninger lækkede, fordi et domæne - han ellers er ligeglad med - havde en whois-beskyttelse, der udløb.

En bruger under Springers indlæg har testet Amazons kundesupport. Og her er angiveligt også lykkedes at få udleveret oplysninger på, hvad der virker til at være et tyndt grundlag.

Version2 har rettet henvendelse til Amazon. Det har ikke umiddelbart været mulig at få en kommentar til Eric Springers indlæg.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (3)

Ivo Santos

Hvorfor er informationerne ikke sendt til evt. sidste kendte email adresse?
Det bør ikke være tilladt for kundesupport at videregive private informationer med mindre det sker via et fysisk brev eller en email adresse, eller lign., at det kan lade sig over en chat session med en fra kundesupport må siges at være en fejl, og det bør Amazon også indse.

lasse øksbro

Det er slet ikke i orden af amazon
Det er respektløst
At de udlevere private oplysninger til hvemsomhelt

Hvad bliver det næste? At google lægger alle ens mail offentlig på nettet?
Eller eller ens filer i google drive

Log ind eller opret en konto for at skrive kommentarer