Commentaires : Amazon : des hackers auraient réussi à contourner la double authentification

INFO Clubic - C’est une faille zero day qui inquiète. Des pirates sont parvenus, selon plusieurs témoignages, à franchir le système de vérification à deux facteurs de clients pour passer de fausses commandes en leur nom, et empocher le magot.

3 J'aimes

Finalement, il vaut mieux de ne pas enregistrer le moyen de payment chez Amazon… Pas de moyen de paiement = pas de piratage.

16 J'aimes

C’est tout à fait juste et c’est une excellente remarque. Et de façon générale, on ne devrait pas enregistrer de moyen de paiement sur tous les sites… malgré l’aspect pratique indéniable. Surtout si des malins ont réussi à trouver une faille de l’A2F :confused: Je vais me permettre de l’ajouter à l’article.

2 J'aimes

D’où l’intérêt de payer par e-CB sur internet …

Quel drôle d’idée de laissé ca CB sur le compte amazon qui plus est…

4 J'aimes

encore faut-il que sa banque le propose.
par exemple le crédit agricole ne le fait pas alors que ça leur est réclamé depuis des années.

1 J'aime

c’est pas simplement suite à du phishing ? y a des emails de remises affichés comme venant de notice@amazon.com qui circulent, jamais cliqué dessus mais ça m’étonne pas que s’en suive une série de fraude sur amazon.

1 J'aime

Ce n’est pas du phishing non, il n’y a eu aucun clic sur un lien frauduleux. Les témoins étaient suffisamment avertis, et sont allés directement sur leur compte Amazon changer leur mot de passe, et c’est là qu’ils ont vu une commande passée (et déjà livrée et débitée). Donc ce qui est inquiétant, ce n’est pas le fait d’avoir une commande à son nom sans en avoir connaissance, c’est la façon dont les hackers ont pu passer outre la double authentification. Je ne l’explique pas :confused: Mais il n’y a pas de système infaillible…

? je suis au CA et si je fais une transaction un numéro d’authentification m’est envoyé par texto… Il n’y a que pour les paiements en plusieurs fois que cela ne m’est pas demandé il me semble, enfin ça dépend du site où j’achète aussi et du prestataire qu’il utilise mais la plupart du temps un code m’est envoyé.

+1 pour ne jamais enregistrer un moyen de paiement, peu importe sur quoi. Le truc c’est qu’amazon, une fois l’achat effectué, l’enregistre automatiquement, il faut ensuite aller soi-même sur son compte pour le supprimer… c’est aussi ça qu’il faudrait changer, il n’y a pas de case « ne pas enregistrer le moyen de paiement » lors d’un achat. Une personne peu attentive se retrouvera avec son moyen de paiement enregistré sans même le savoir.

1 J'aime

Heu… normalement on est censé recevoir un e-mail à la validation de la commande, et un autre à l’expédition, et enfin encore un troisième à la livraison… et eux ils n’ont rien reçu ?? Moi je trouve que ce problème est encore plus grave si c’est le cas !!

1 J'aime

Il y a visiblement bien eu l’envoi d’un mail une fois la commandée passée. Sauf que la commandée passée était immédiatement considérée comme « livrée » et débitée dans la foulée…

Le plus gros problème ca reste quand même qu’il y ait un moyen de se connecter à un compte en bypassant aussi bien le login/passe (même si c’est le plus simple à contourner suite à des vols de mots de passe sur d’autres sites).
Par contre avec l’authentification double je suis vraiment curieux de savoir comment ils ont pu court-circuiter ce système.

@c_planet Je travaille dans la cybersécurité. Mon compte Amazon possède un mot de passe de 18 caractères aléatoires et unique (que je ne connais pas d’ailleurs). Je lutte tous les jours contre mes utilisateurs victimes de phishing, inutile de te dire que j’y suis sensibilisé et que j’en connais les moindres mécanismes ^^. Mon compte est protégé par un MFA (avec SMS, mais j’ai depuis modifié pour un MFA via une application type Google Authenticator ou Authy). J’ai eu une notification d’Amazon le 28 juin un peu avant 20h intitulée « Amazon password assistance » contenant un code OTP. J’ai immédiatement réinitialisé mon mot de passe et ai vérifié qu’il n’y avait pas de commande suspecte. Il n’y en avait pas, mais clairement, Amazon fait face a une 0day là… Le mail venait de « account-update@amazon.com »

4 J'aimes

ok. ceci dit l’explication la plus simple est svt la meilleur, jusqu’à éclaircissement autant considérer que ce sont des utilisateurs infectés.

Je te laisse voir le témoignage (un de plus) d’ @aztazt juste au-dessus de ta réponse.

Pareil pour deux autres personnes infectées : leur mail était clean (haveibeenpwnd) plus très, très, très solide aux yeux de howsecureismypassword.

1 J'aime

Les pirates ne peuvent pas pirater nos cerveaux pour l’instant. :wink:

J’ai aussi reçu un mel d’Amazon m’indiquant une connexion d’un Mac depuis Paris. C’est normalement impossible dans mon cas. Je n’ai pas activé la double authentification et aucune chance d’avoir été victime de hameçonnage.
Pas de commande frauduleuse depuis mon compte. J’ai changé mon mot de passe qui était pourtant très complexe et supprimé tous mes moyens de paiement.
Depuis plusieurs mois je reçois de temps en temps un mel d’Amazon indiquant une tentative d’accès à mon compte et affichant un code unique style TOTP. Je n’ai jamais donné suite mais cela m’a alerté que des tentatives d’accès étaient tentées.

Un truc m’échappe : le produit doit bien être livré à un destinataire qui a un nom et une adresse… Alors comment est-ce possible ?

ce n’est pas logique. un pirate va toujours au plus simple au plus faible pourquoi n’attaquer que des comptes avec MFA activés ? çà n’a aucun sens

Le MFA ( ou A2F ) est logiciel et installé sur un android ou un ios et il y a moyen de migrer l’app sur un autre mobile, tu verras qu’ils ont jailbreak leur telephone et installé un store secondaire ou autre conneries, piraté pomper sur un forum de chinois ou avec une ROM maison pas tout a fait officielle.

Alors en effet ils n’ont jamais cliqués sur aucun lien, mais on execute peut etre juste leur google authenticator a distance ( c’est integré dans le sdk android ce genre de fonctionnalité )

On ne contourne pas un MFA, sinon c’est qu’on a la puissance pour cracker SWIFT et on ne va pas faire chier Martial, quand on peut mettre la main sur le compte de bill gates directement non ?

1 J'aime

@Everyware ton raisonnement me semble un peu simpliste. Pourquoi n’y aurait-il pas une vulnérabilité dans la manière dont Amazon gère les compte avec 2FA ? C’est d’ailleurs ce qui semble se dessiner. Mon compte était protégé par un 2FA, je n’explique pas pourquoi Amazon m’a envoyé un code OTP (par mail en plus) alors que je n’ai rien demandé… J’ai essayé leurs procédures de type « J’ai oublié mon mot de passe » mais à aucun moment dans l’arborescence des possibilités qui s’offrent à l’utilisateur en cas de problème de connexion je ne suis tombé sur un cas de figure ou un OTP m’était envoyé par mail. Il y a une 0-day dans le mécanisme d’authentification c’est certain.
Et non, je ne roote pas mon téléphone, non je n’utilise pas de store alternatif, non mon PC n’est pas infecté, car oui, j’achète légalement les logiciels dont je me sers quand il n’existent pas en open source.

Ensuite tu parles de SWIFT et c’est vrai qu’il y a quelques années et à plusieurs reprises le réseau Swift avait été victime de cyberattaques réussies (dont celle de la NSA révélée par Shadow Brokers), mais ça n’a rien à voir avec ce qui se passe ici.

Ha, et pour finir, oui, un MFA peut-être contourné, s’il est fait par SMS (cherche SS7 vulnerability)

Merci. Je ne ne connaissais pas. Je viens de tester un équivalent d’un de mes mots de passe (je ne vais quand même pas taper un vrai mot de passe…). Résultat: 1 trillions d’années pour le trouver.

Les conséquences ne seront sans doute pas les mêmes (en termes de représailles) si on s’attaque à Bill Gates qu’à des clients Amazon.