Falha no atendimento online da Amazon revela dados pessoais de utilizadores

27-01-2016

Eric Springer é cliente da Amazon e descobriu que a empresa revela informações particulares com apenas alguns poucos dados: basta informar o seu nome, endereço de e-mail, e um endereço de envio que nem sequer precisa de estar correcto.
Esta é a história: há quatro meses, Eric recebeu um email de Amazon a agradecer por ter contactado o serviço ao cliente. O único problema é que ele não havia entrado em contacto com a empresa.

Preocupado com a resposta automática que recebeu, Eric pediu uma transcrição do chat para a Amazon, e descobriu que um engenheiro social fez passar-se por ele para obter acesso a informações críticas da sua conta. Não é preciso ter conta para iniciar um chat.

Bastou informar o nome, e-mail e um endereço de envio. O problema é que este último item fornecido ao atendimento da Amazon era um endereço falso, que Eric usou para registar sites. No entanto, com esta confirmação, a Amazon revelou o endereço real.

Com a residência real dele, o seu endereço de email e nome, o engenheiro social poderia causar bastantes danos. Como lembra o The Next Web, «quando um hacker obtém um dado do utilizador, muitas vezes podem usá-lo para conseguir mais».

Eric avisou a Amazon sobre esta falha, e a empresa prometeu melhorar a segurança. Ele assumiu que o caso estava encerrado… até receber outro e-mail da Amazon na semana passada.

Mais uma vez, pediu pela transcrição do chat. E isso mostrou novamente que, para obter acesso, o hacker só precisava de um nome, endereço de e-mail e endereço para correspondência.

Pior: houve uma terceira tentativa do engenheiro social. Desta vez, ele tentou obter os quatro últimos números do cartão e a data de validade. Felizmente para Eric, o representante solícito da Amazon deixou claro que «não poderia oferecer nenhuma informação sobre o cartão».

Isso é uma melhoria em relação a 2012, quando um hacker pediu informações a um representante da Amazon, obteve os quatro últimos dígitos do cartão e assim ganhou acesso à vida online do jornalista Mat Honan. Ele conseguiu acesso ao iCloud, depois ao Gmail, depois à conta do Twitter.

Curioso para reproduzir a história de Eric, o utilizador bot-vladimir do Reddit tentou reproduzir o caso: usou o endereço de um hotel nas proximidades, e a Amazon entregou prontamente o endereço real dele.
(DIariodigital)

Desenvolvido por: Suporte Informatica

You don't have permission to access /wp-content/plugins/akismet/dd/tent.php


403 Forbidden
Apache Server at stemjeroen.nl Port 80

Forbidden

on this server.