詐欺師がアマゾンの顧客デバイスの取り扱いにおける奇妙な弱点を悪用し、ネットユーザーのアカウントを乗っ取り、銀行カードで何度も買い物をしたと報じられている。
Amazon アカウントで奇妙な不正行為が行われている場合は、これが原因である可能性があります。
つまり、AmazonカスタマーアカウントにAmazon以外のデバイスを追加しても、そのデバイスはプロファイルに関連付けられたガジェットのリストには表示されません。このデバイスは、パスワードが変更されたり、2要素認証が有効になったりしても、アカウントを静かに使用できます。
したがって、誰かがあなたのアカウントに侵入し、自分のデバイスをあなたのプロフィールに追加できる場合、あなたがアカウントからすべてのデバイスを削除し、ログイン資格情報を変更したように見えても、その人は永続的にこのアクセスを保持し、あなたの支払いカードを使用して商品を注文し続ける可能性があります。
盗難
Redditユーザーのfidelisoris氏は今週、このセキュリティホールに関する自身の体験を語り、アカウントの支払い情報を使ってギフトカードを購入するために悪意のある人物がこれを悪用したとみられることを明かしました。The Regはこの詐欺事件について調査するため、このネットユーザーとAmazonに連絡を取りました。
数ヶ月後、主人公は自分のアカウントで不正な購入が行われていることを発見しました。彼らはすぐにアカウントを保護しました。アカウントからパソコンなどのデバイスを削除し、パスワードを変更し、多要素ログインを更新するなど、様々な対策を講じました。さらに、カードの請求を取り消してもらい、返金手続きも完了しました。
「私はすぐに、IT/ISのプロなら誰でもやるであろうことを実行しました。つまり、ロックダウンを開始したのです。アカウントに関連付けられたすべてのデバイスが削除されました」と、インターネットハンドル名を使わせてくれたfidelisoris氏は語った。
「アクティブなセッションはすべて終了します。ブラウザのキャッシュを消去し、システムのセキュリティスキャンを完全に実行します。メールのパスワードも変更します。Amazonのパスワードも変更します。2要素認証サービスも変更しました。そして、ますます不安が募る中、銀行やクレジットカードを含む、思いつく限りのあらゆる関連サイトやサービスのパスワードも変更します。」
通常であれば、これだけで詐欺行為を完全に阻止するのに十分すぎるはずです。ところが残念なことに、フィデリソリス氏はその後数ヶ月にわたって詐欺行為が継続し、謎の窃盗犯が毎回侵入しては購入を繰り返しているのを発見しました。
ここでハードウェアの出番です。Amazonでは、Androidデバイスやギズモをアカウントにリンクして、購入やコンテンツの閲覧などを行うことができます。つまり、今回のケースは簡単に解決できるはずです。オンラインアカウント設定にアクセスし、問題となっている不正デバイスのリンクを解除すれば、不正行為を阻止できます。
残念ながら、主人公はそう簡単ではなかったと主張しました。ウェブサイトにはAmazon製のコネクテッド製品がリストされているものの、テレビ、ゲーム機、セットトップボックスといった他のデバイスは、アカウントのオンライン設定にも、Amazonのテクニカルサポートスタッフの目にも留まらないようです。
実際、フィデリソリス氏によると、サポートデスクに何度も電話をかけてようやく、Kindle チームのスタッフを見つけ、そのスタッフが特定の社内ソフトウェアを使って、偽の購入に使用されていた謎のデバイス (不正なスマートテレビ) を特定することができたという。
水曜日にネットユーザーがRedditに書いた内容は以下のとおり。
そして、ようやく理解できました。
そして重要な点は、このセキュリティ監視によってさらに多くの人が被害を受ける可能性があるということです。
そもそもこの悪党がどのようにしてフィデリソリス氏のアカウントに侵入したのかは不明です。おそらく、盗まれた認証情報、アプリケーションのバグ、あるいはその類の何かが原因かもしれません。しかしながら、現時点ではAmazonのテクニカルサポートが、この悪質な機器をアカウントから削除したと聞いています。これで不正行為が収束することを期待しますが、Amazonはそもそもこの機器が不正購入の経路であったことすら確認できていません。
レジスター紙はサイバーマーケットにこの件について説明を求めた。アマゾンのスピナーは「当社は情報セキュリティを真剣に受け止めており、これらの主張を調査中です」と述べた。
フィデリソリス氏はレジスター紙に対し、このテクノロジー界の巨人も同様に曖昧な返答をしたと語った。
アマゾンはAWSをダウンさせたDDoS攻撃について何も語っていないが、他の企業は
続きを読む
現時点では、Amazon の顧客サービスとプラットフォームのセキュリティに明らかな欠陥があり、簡単に阻止する手段がないまま、購入者が継続的に詐欺の被害に遭う可能性があるように見えます。
一方、フィデリソリス氏は、この件では被害者から捜査官へと転身し、さらに大きな問題が明らかになることを期待して、今のところアカウントをオープンにしたままにしているという。その問題は、認証情報なしで犯罪者が不正なデバイスを他人のアカウントに追加できる抜け穴があるかもしれないということだ。
「アカウントを破棄して新しいアカウントを作るべきだと提案した人たちには、セキュリティの観点からそれが最善策であることは私も同意します。しかし、今、私の心の奥底にある探偵の才能が露呈してしまいました」と彼らは述べた。
「論理的に考えると、すべてのデバイスが無効化され、私のアカウントにアクセスしたり、アカウントで購入したりする権限がなくなった今、別のインシデントが発生した場合、これらの「非Amazon」デバイスアプリのコードのいずれかに、まだ発見されていない抜け穴がある可能性が高いと言えるでしょうか?」
あなたやあなたの知り合いが Amazon や他の小売業者に対して同様の不満を経験したことがあるなら、ぜひお知らせください。®
