Amazon : des hackers auraient réussi à contourner la double authentification

01 juillet 2020 à 11h42
79
Alerte Amazon couv

INFO Clubic - C’est une faille zero day qui inquiète. Des pirates seraient parvenus, selon toute vraisemblance et plusieurs témoignages, à franchir le système de vérification à deux facteurs de clients pour passer de fausses commandes en leur nom, et empocher le magot.

Depuis le début du mois de juin, plusieurs internautes ont eu la désagréable surprise de découvrir que leur compte Amazon avait été piraté, et que l’opération avait permis à des individus malveillants de passer des commandes considérées comme étant déjà livrées, et aussitôt débitées. Cette vulnérabilité zero-day est d’autant plus inquiétante que les utilisateurs qui l’ont fait remonter bénéficiaient de l’authentification à deux facteurs (A2F), censée être inviolable.

Des commandes (dont les clients n’ont pas connaissance) passées et apparaissant comme déjà livrées

La faille dont nous parlons nous a été remontée par plusieurs internautes, preuves à l’appui. Pour l’illustrer le plus simplement possible, nous nous faisons le relais du témoignage de clients d’Amazon, dont certains sont sensibles aux risques de cybersécurité, que nous appellerons pour le premier d'entre eux Martial (puisque nous sommes le 30 juin), pour préserver son anonymat.

Il y a quelques jours, Martial reçoit une notification sur son mobile provenant de l’application Amazon, qui lui signale une connexion effectuée depuis un Mac situé à Paris. Sauf que Martial n’habite pas à Paris. Dans le doute, il coupe la connexion et change son mot de passe. Et Martial fait partie des chanceux.

Son voisin, que nous appellerons Thierry (en hommage au 1er juillet), a reçu une notification identique, évidemment suspecte. Sauf qu’en début de semaine, un autre client d’Amazon a reçu la fameuse notification indiquant une connexion tierce, et il n’aura pas eu autant de chance que Martial et Thierry. Thomas, lui, s’est aperçu qu’une commande avait été effectuée en son nom, sur son compte, avec le statut « Livré » rattaché à la commande qui était déjà dans la liste des commandes archivées. Bilan des courses : 400 euros d’articles.

Alerte Amazon A2F

Un détournement très inquiétant de la procédure d’authentification à deux facteurs

Avant de développer davantage, faisons donc un point sur la situation :

  • Ici, nous avons un faux vendeur (comme il en existe des centaines sur Amazon) qui met en vente un article à un prix souvent très au-dessus de ce qui pourrait être sa valeur réelle.
  • Ensuite, une faille zero-day (c’est-à-dire qui n’a pas encore été découverte), permet la connexion à un compte Amazon. Précision à apporter : la connexion se fait même avec l’A2F. Ce qui est particulièrement grave, « flippant » même, nous dit Martial, qui pour sa part assurait un maximum de sécurité (via haveibeenpwned et howsecureismypassword).
  • Puis le faux acheteur, une fois sur le compte du client, commande le produit, qui se trouve être déjà expédié depuis plusieurs jours puis livré par le vendeur, comme par miracle.
  • Enfin, la commande est immédiatement débitée, et le faux vendeur disparaît.

On peut également trouver une trace du hack sur Reddit, où un utilisateur affirme avoir été victime du même processus malhonnête de A à Z, ayant perdu 366 dollars sur un lit de salon jamais commandé, avec là aussi une procédure d’authentification double.

Alerte Amazon produits

Derrière les hackers, on retrouve des offres issues de comptes appartenant à des vendeurs qui revendiquent être basés en Chine, dont le nom est souvent ubuesque, comme une succession de caractères, « IXINCHENGQUZHENZHOUB » ou « HIXIANSIYANGBAI. » Les produits « mis en vente » par ces vendeurs tournent régulièrement sur la plateforme, et les offres ne semblent jamais rester plus que quelques semaines en ligne. Les vendeurs eux-mêmes pullulent. Souvent, on retrouve la mention « Vient de sortir » sur la page d’un vendeur.

Alerte Amazon vendeur

Des pirates qui se sont soigneusement préparés

S’agissant de l’envoi du statut de la commande, qui apparaît comme étant livrée aux yeux du client alors que celui-ci ignorait totalement l’existence de la commande, les hackers ont probablement prévu de faux suivis, c’est-à-dire de possibles lettres suivies qui ne nécessitent pas de signatures et qui ont été envoyées à une adresse au hasard au préalable, de façon à ce que lorsque la commande est passée sur Amazon puis le tracking activé, l’état de la commande apparaisse directement comme « livré ».

Et il n’y a pas que la marketplace française qui serait concernée. Certaines boutiques trouvent leur déclinaison sur les domaines britannique, italien, espagnol, néerlandais ou allemand du géant américain.

Alerte Amazon domaines

Et nous avons même retrouvé trace de certaines offres publiées sur Amazon du côté d’Aliexpress, avec un texte et un produit identiques à ceux appartenant aux boutiques frauduleuses. Sur Aliexpress, la page n’existe plus, même si celle-ci reste référencée dans les moteurs de recherche.

Alerte Amazon offres

Notons que selon nos informations, les clients lésés (qui seraient moins d'une dizaine connus à cette heure) ont à chaque fois été rapidement remboursés par Amazon, et le changement de mot de passe (que l'on vous conseille donc, en prévention) a permis de mettre fin au problème. On ne peut que vous conseiller, si vous avez enregistré un moyen de paiement par défaut sur Amazon (ou sur d'autres sites), de le retirer.

À savoir 👍

  • Nous avons reçu plusieurs autres témoignages depuis la publication de l'article, dont certains issus d'utilisateurs très avisés, comme des développeurs web, qui confirment aussi avoir reçu récemment une notification d'une connexion via leur compte Amazon depuis un autre terminal, situé dans une autre ville.
  • Pour certains des témoignages que nous avons pu récolter, plusieurs clients d'Amazon nous indiquent avoir activé l'A2F via leur numéro de téléphone, et non l'application d'authentification de compte.
  • Il ne semble pas y avoir eu de problème de sim swapping chez certains utilisateurs lésés.

Contactée par Clubic, la société Amazon nous indique ne pas avoir eu connaissance, à date, d'une éventuelle faille.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
79
42
VladanFR
Finalement, il vaut mieux de ne pas enregistrer le moyen de payment chez Amazon… Pas de moyen de paiement = pas de piratage.
AlexLex14
C’est tout à fait juste et c’est une excellente remarque. Et de façon générale, on ne devrait pas enregistrer de moyen de paiement sur tous les sites… malgré l’aspect pratique indéniable. Surtout si des malins ont réussi à trouver une faille de l’A2F Je vais me permettre de l’ajouter à l’article.
dreaman59
D’où l’intérêt de payer par e-CB sur internet …<br /> Quel drôle d’idée de laissé ca CB sur le compte amazon qui plus est…
Keorl
encore faut-il que sa banque le propose.<br /> par exemple le crédit agricole ne le fait pas alors que ça leur est réclamé depuis des années.
c_planet
c’est pas simplement suite à du phishing ? y a des emails de remises affichés comme venant de notice@amazon.com qui circulent, jamais cliqué dessus mais ça m’étonne pas que s’en suive une série de fraude sur amazon.
AlexLex14
Ce n’est pas du phishing non, il n’y a eu aucun clic sur un lien frauduleux. Les témoins étaient suffisamment avertis, et sont allés directement sur leur compte Amazon changer leur mot de passe, et c’est là qu’ils ont vu une commande passée (et déjà livrée et débitée). Donc ce qui est inquiétant, ce n’est pas le fait d’avoir une commande à son nom sans en avoir connaissance, c’est la façon dont les hackers ont pu passer outre la double authentification. Je ne l’explique pas Mais il n’y a pas de système infaillible…
Vanilla
Heu… normalement on est censé recevoir un e-mail à la validation de la commande, et un autre à l’expédition, et enfin encore un troisième à la livraison… et eux ils n’ont rien reçu ?? Moi je trouve que ce problème est encore plus grave si c’est le cas !!
AlexLex14
Il y a visiblement bien eu l’envoi d’un mail une fois la commandée passée. Sauf que la commandée passée était immédiatement considérée comme «&nbsp;livrée&nbsp;» et débitée dans la foulée…
wedgantilles
Le plus gros problème ca reste quand même qu’il y ait un moyen de se connecter à un compte en bypassant aussi bien le login/passe (même si c’est le plus simple à contourner suite à des vols de mots de passe sur d’autres sites).<br /> Par contre avec l’authentification double je suis vraiment curieux de savoir comment ils ont pu court-circuiter ce système.
aztazt
@c_planet Je travaille dans la cybersécurité. Mon compte Amazon possède un mot de passe de 18 caractères aléatoires et unique (que je ne connais pas d’ailleurs). Je lutte tous les jours contre mes utilisateurs victimes de phishing, inutile de te dire que j’y suis sensibilisé et que j’en connais les moindres mécanismes ^^. Mon compte est protégé par un MFA (avec SMS, mais j’ai depuis modifié pour un MFA via une application type Google Authenticator ou Authy). J’ai eu une notification d’Amazon le 28 juin un peu avant 20h intitulée «&nbsp;Amazon password assistance&nbsp;» contenant un code OTP. J’ai immédiatement réinitialisé mon mot de passe et ai vérifié qu’il n’y avait pas de commande suspecte. Il n’y en avait pas, mais clairement, Amazon fait face a une 0day là… Le mail venait de «&nbsp;account-update@amazon.com&nbsp;»
c_planet
ok. ceci dit l’explication la plus simple est svt la meilleur, jusqu’à éclaircissement autant considérer que ce sont des utilisateurs infectés.
AlexLex14
Je te laisse voir le témoignage (un de plus) d’ @aztazt juste au-dessus de ta réponse.<br /> Pareil pour deux autres personnes infectées : leur mail était clean (haveibeenpwnd) plus très, très, très solide aux yeux de howsecureismypassword.
max_971
Les pirates ne peuvent pas pirater nos cerveaux pour l’instant.
Ouarf
J’ai aussi reçu un mel d’Amazon m’indiquant une connexion d’un Mac depuis Paris. C’est normalement impossible dans mon cas. Je n’ai pas activé la double authentification et aucune chance d’avoir été victime de hameçonnage.<br /> Pas de commande frauduleuse depuis mon compte. J’ai changé mon mot de passe qui était pourtant très complexe et supprimé tous mes moyens de paiement.<br /> Depuis plusieurs mois je reçois de temps en temps un mel d’Amazon indiquant une tentative d’accès à mon compte et affichant un code unique style TOTP. Je n’ai jamais donné suite mais cela m’a alerté que des tentatives d’accès étaient tentées.
Alain_78
Un truc m’échappe : le produit doit bien être livré à un destinataire qui a un nom et une adresse… Alors comment est-ce possible ?
genesya
ce n’est pas logique. un pirate va toujours au plus simple au plus faible pourquoi n’attaquer que des comptes avec MFA activés ? çà n’a aucun sens<br /> Le MFA ( ou A2F ) est logiciel et installé sur un android ou un ios et il y a moyen de migrer l’app sur un autre mobile, tu verras qu’ils ont jailbreak leur telephone et installé un store secondaire ou autre conneries, piraté pomper sur un forum de chinois ou avec une ROM maison pas tout a fait officielle.<br /> Alors en effet ils n’ont jamais cliqués sur aucun lien, mais on execute peut etre juste leur google authenticator a distance ( c’est integré dans le sdk android ce genre de fonctionnalité )<br /> On ne contourne pas un MFA, sinon c’est qu’on a la puissance pour cracker SWIFT et on ne va pas faire chier Martial, quand on peut mettre la main sur le compte de bill gates directement non ?
aztazt
@Everyware ton raisonnement me semble un peu simpliste. Pourquoi n’y aurait-il pas une vulnérabilité dans la manière dont Amazon gère les compte avec 2FA ? C’est d’ailleurs ce qui semble se dessiner. Mon compte était protégé par un 2FA, je n’explique pas pourquoi Amazon m’a envoyé un code OTP (par mail en plus) alors que je n’ai rien demandé… J’ai essayé leurs procédures de type «&nbsp;J’ai oublié mon mot de passe&nbsp;» mais à aucun moment dans l’arborescence des possibilités qui s’offrent à l’utilisateur en cas de problème de connexion je ne suis tombé sur un cas de figure ou un OTP m’était envoyé par mail. Il y a une 0-day dans le mécanisme d’authentification c’est certain.<br /> Et non, je ne roote pas mon téléphone, non je n’utilise pas de store alternatif, non mon PC n’est pas infecté, car oui, j’achète légalement les logiciels dont je me sers quand il n’existent pas en open source.<br /> Ensuite tu parles de SWIFT et c’est vrai qu’il y a quelques années et à plusieurs reprises le réseau Swift avait été victime de cyberattaques réussies (dont celle de la NSA révélée par Shadow Brokers), mais ça n’a rien à voir avec ce qui se passe ici.<br /> Ha, et pour finir, oui, un MFA peut-être contourné, s’il est fait par SMS (cherche SS7 vulnerability)
GRITI
AlexLex14:<br /> plus très, très, très solide aux yeux de howsecureismypassword.<br /> Merci. Je ne ne connaissais pas. Je viens de tester un équivalent d’un de mes mots de passe (je ne vais quand même pas taper un vrai mot de passe…). Résultat: 1 trillions d’années pour le trouver.<br /> genesya:<br /> On ne contourne pas un MFA, sinon c’est qu’on a la puissance pour cracker SWIFT et on ne va pas faire chier Martial, quand on peut mettre la main sur le compte de bill gates directement non ?<br /> Les conséquences ne seront sans doute pas les mêmes (en termes de représailles) si on s’attaque à Bill Gates qu’à des clients Amazon.
DIDLH
j’ai trouvé mieux, pas de compte Amazon… j’ai supprimé le mien il y a quelques temps déjà et j’arrive à vivre normalement et à commander ailleurs.
Vanilla
Dans l’article ils disent qu’avant le piratage du compte et la fausse commande, les pirates envoient des lettres recommandées bidons a des adresse bidons, et ils utilisent ce numéro de suivi ensuite pour faire croire que les commandes sont arrivées. (Ils sont à la fois pirates acheteurs et vendeurs, donc ils trafiquent les numéros de suivis des envois que donne leur compte vendeur.)
genesya
l’OTP provient de SNS comme tous les services AWS. il suffit que tu ais saisies ton n° de tel pour que le service l’utilise, mais c’est étrange comme système habituellement on préfère google authenticator.<br /> La manière dont il s’y est pris, évidement je n’en sais rien mais je suis pret a parier 750 milliards de brouzoufs virtuels, qu’il n’y a pas de vulnérabilité dans le MFA d’amazon… ce qui est très étrange dans cette histoire c’est que :<br /> Le MFA s’active que lorsque tu as le bon mot de passe<br /> Je doute que ton mot de passe soit MyP@ss0rd01!<br /> Le bruteforce n’étant pas possible sur aws la question se pose<br /> Comment a t il eut ton mot de passe ?<br /> Et pour récupérer le code sms je doute qu’il ait fait un man in the middle avec une antenne radio maison, et un certificat temporaire pour exploiter la faille ss7 … cf zataz<br /> de deux choses l’une soit c’est ton épouse qui bosse au mossad, soit c’est un binome interne chez aws et ils vont finir en taule ( toutes les taches administratives sont exécutées à deux personnes ) ce qui serait intéressant c’est d’avoir le fin mot de l’histoire et surtout si cela fera l’ouverture du prochain summit comme découverte de la faille du siècle.<br /> et du coup je perdrai mes brouzoufs. #popcorn
icejedi
J’avais déjà vu il y a quelques mois des problèmes de ce genre tourner sur les sites genre 50 millions de consommateurs, où c’était des employés d’Amazon qui étaient soupçonnés de détourner les comptes clients pour faire les commandes à ces fameux vendeurs fantômes
manu0086
«&nbsp;dit Martial, qui pour sa part assurait un maximum de sécurité (via haveibeenpwned et howsecureismypassword).&nbsp;»<br /> Quand on commence à «&nbsp;sécuriser&nbsp;» de cette façon, c’est mal parti… perso, j’irai même pas chercher plus loin.
aztazt
On verra, j’ai signalé l’incident à Amazon.<br /> Je croise les doigts pour tes brouzoufs.<br /> Je reste persuadé d’une 0-day. Je resterai à l’écoute de mes homologues au CLUSIF/CIGREF pour voir si le sujet est abordé.
tfpsly
Alain_78:<br /> Un truc m’échappe : le produit doit bien être livré à un destinataire qui a un nom et une adresse… Alors comment est-ce possible ?<br /> Pas la peine de faire un vrai envoir si le pirate est le vendeur fictif : il n’envoie rien, mais vu qu’il a accès au compte, il peut payer et immédiatement indiquer qu’il a bien reçu la commande.<br /> genesya:<br /> ce n’est pas logique. un pirate va toujours au plus simple au plus faible pourquoi n’attaquer que des comptes avec MFA activés ? çà n’a aucun sens<br /> Aux USA, le MFA juste basé sur un téléphone (SMS par ex) est facile à passer : beaucoup d’opérateurs ont déjà «&nbsp;jeté en pature&nbsp;» le numéro de clients en le réaffectant à des pirates, appelant avec un minimum de connaissance sur leur cible (nom, numéro de sécu sociale…) et disant avoir perdu leur téléphone. Une fois la ligne choppée, le pirate reçoit tous les messages de vérification de compte.<br /> Mais je pense que ce serait mentionné ici si c’était le cas.
3615Buck
Vous faites confiance à howsecureismypassword ???<br /> Pas con comme site pour récolter les mots de passe des gens.<br /> De plus, ils ne semblent évaluer que la force brute et pas les dictionnaires.<br /> «&nbsp;Motdepasse&nbsp;» : 1 mois<br /> Ben tiens…
carinae
Dans cette histoire ce qui m’interpelle c’est justement…que les clients aient reçu une notification . Si les gars ont eu accès au compte des acheteurs c’est qu’ils ont aussi eu accès aux paramètres du compte. Donc pourquoi ne pas avoir changé l’email ? C’est nettement plus discret.<br /> Concernant le SMS Il n’y avait pas une histoire il y a quelques temps avec un malware dans certaines applications Android ?(style App quelque chose comme ça)
genesya
oui je comprends et ce qui confirme, ou n’infirme pas, ce que je disais :<br /> MFA = multi factor authentification<br /> 0- Enter user and password<br /> 1- mot de passe ( failed goto 0 ) on ne passe jamais à l’étape 2<br /> 2- Enter MFA code<br /> Donc comment ont ils euent le mot de passe ?<br /> Ensuite si il avait le mot de passe<br /> comment ont ils euent le MFA ?<br /> y’a forcement une faille interne chez eux et si amazon remboursent sans rechigner c’est pour mener l’enquête sereinement et en parler dans la presse c’est juste utile à avertir le voleur qui du coup pourrait disparaître dans la nature, en général on en parle a zataz puis ensuite on publie une fois le voleur arrêté, enfin je crois
Keorl
La confirmation avec un code sms, c’est une chose. C’est un peu aléatoire, je pense qu’ils le font en priorité pour les montants &gt; 100€, les transactions multiples sur un même site, ou sur un nouveau site. Pour certaines choses ça ne me l’a jamais fait (achats dans guild wars 2 par exemple). Ça n’empêche en aucun cas de mettre son numéro de CB en «&nbsp;danger&nbsp;» si on doit l’envoyer vers un site mal sécurisé, ou qui l’enregistre (éventuellement à ton insu), ou qui par défaut te fait entrer dans un prélèvement mensuel/annuel sauf si tu annules, etc. Et comme on est loin d’avoir un sms à chaque transaction, si ton numéro de cb se retrouve entre des mains peu scrupuleuses (que ça soit quelqu’un qui travaille sur le site ou un attaquant), il pourra l’utiliser.<br /> Mon message ne portait en réalité pas sur ce point, mais répondait à celui du dessus concernant les e-cb. Il s’agit de cartes à usage unique, avec un montant prédéfini ou plafonné, que tu créé en quelques cliques depuis ta banque en ligne afin de procéder à un paiement en ligne sans jamais mettre autre chose en risque que la somme à payer. Les autres banques le proposent. Le CA ne le propose pas !!!<br /> Et tant qu’on parle de la sécurité des CB au CA, un autre point (mais il relève peut-être plus de la société mastercard ?) : le code à 3 chiffres (achats internet) est stupidement imprimé sur la carte. Contrairement à celui à 4 chiffres (achats physiques) qui t’es envoyé par courrier séparé. Ils devraient envoyer le code à 3 chiffres lui aussi par courrier séparé. Et même mieux : le rendre évolutif (qu’il change à chaque transaction).
AlexLex14
Keorl:<br /> Ils devraient envoyer le code à 3 chiffres lui aussi par courrier séparé. Et même mieux : le rendre évolutif (qu’il change à chaque transaction).<br /> +1
louchi
Moi je suis pas con, j’ai appris par coeur les chiffres de la double authentication on me l’a fait pas à moi
Peter_Vilmen
Tu as des aggregateurs de comptes bancaires qui te proposent des e-cartes, type Max. C’est gratuit et ça fonctionne plutôt bien.
ld9474
Alors en fait je suis perplexe. Je suis en train de mettre en place une boutique pour un client et le prestataire de paiement me dit que c’est un fait un token qui est sauvegardé et que ce token est lié au marchand et ne peut (en théorie) pas être utilisé. Ou est la vérité?
manu0086
Je ne dis pas qu’il n’y a pas de soucis côté Amazon, et que leur double-authentification est efficace, mais là le soucis premier, c’est côté utilisateur.
tfpsly
Je m’excuse d’avance, mais votre article est à chier et basé seulement sur des témoignages de quelques personnes isolées… personnes étant peu regardantes sur la sécurité, et surtout vous ne prenez même pas la peine de parler réellement sécurité! [… ] mais là le soucis premier, c’est côté utilisateur.<br /> Et quel élément factuel a-tu, pour arriver si vite à cette conclusion? Aucun. «&nbsp;Je m’excuse d’avance, mais votre commentaire est à chier&nbsp;»<br /> Pour l’instant on a des screenshots montrant une livraison datée 3 jours avant la commande, avec des noms de vendeur composés de caractères aléatoires. Et Amazon qui aurait remboursé immédiatement sans broncher.
manu0086
Des vendeurs/voleurs de ce type, y’en a sur toutes les plateformes d’e-commerce, y’a rien de nouveau… et Amazon rembourse facilement comme la majorité des plateformes vu que leur responsabilité est engagée.<br /> Le problème de vol/accès au compte de clients, par contre, c’est plus côté utilisateur le problème contrairement à ce que l’article semble vouloir dire.<br /> La double-authentification Amazon est certes pas la meilleure, (d’ailleurs elle n’était même pas obligatoire il y a encore peu il me semble, et la non obligation d’entrer un code pour les achats facilite encore plus le vol), c’est pas pour autant qu’il y a une faille technique derrière.
Kahlon
Le bypass MFA est super simple.<br /> Que l’authentification soit classique ou renforcée via du MFA, à la fin le browser ne connait qu’une seule chose d’Amazon, le cookie de session.<br /> Si un moyen quelquonque permet de récupérer ce cookie alors vous êtes authentifié sans avoir besoin de connaître de mot de passe ou besoin d’un OTP.<br /> Je soupçonne une faille XSS dans le mode MFA qui permettrait de récupérer discrètement ce fameux cookie.
AlexLex14
manu0086:<br /> @Alexandre Boero<br /> Je m’excuse d’avance, mais votre article est à chier et basé seulement sur des témoignages de quelques personnes isolées… personnes étant peu regardantes sur la sécurité, et surtout vous ne prenez même pas la peine de parler réellement sécurité!<br /> Merci pour toute cette gentillesse (bon en même temps, derrière un écran…).<br /> Tu vois, tu n’as pas lu l’intégralité de l’article, ni certains des commentaires. Je peux au moins t’assurer que deux des personnes touchées sont bien bien calées en informatique et ont donc veillé à être prudentes au niveau sécurité. Donc au lieu de TOI, faire des raccourcis (qu’en sais-tu que ce sont des personnes «&nbsp;peu regardantes&nbsp;» ?), sois plus attentif dans ta lecture, d’autant plus qu’à moment donné dans l’article, je précise que certaines personnes qui ont pu témoigner sont, je cite, «&nbsp;sensibles aux risques de cybersécurité.&nbsp;»<br /> Donc bon, je comprends que tu aies des doutes (c’est pas interdit) et il y a un usage du conditionnel dans le titre et le chapô, mais il y a suffisamment d’éléments (et de témoignages factuels qui viennent s’ajouter depuis, j’en ai même reçu par mail et en privé sur Twitter depuis la publication) qui tendent à démontrer qu’il y a couille dans le potage.
draco61
Bonjour, j’ai pour ma part reçu une notification (mail : Amazon Security Alert : Sign-in from new device detected) le 21/06/2020 de connexion d’un nouveau device à mon compte à partir d’une ville (Zhejang) en Chine. J’ai immédiatement demandé la déconnexion de cette machine, changé mon mot de passe et supprimé mon moyen de paiement… Pas de commande frauduleuse passée sur mon compte.<br /> Par contre ils ont bien réussi à se connecter sur celui-ci…<br /> J’ai bien l’authentification en 2 étapes (2SV) d’activée… !<br /> Pour information pas reçu de SMS avec un code de validation…!<br /> Les n° de téléphones pour la validation n’ont pas été changés.<br /> Et mon mot de passe correspondant aux standards de sécurité.<br /> (22 caractères, Maj/Min/Chiffres &amp; Caractères spéciaux…)<br /> cppie859×1754 114 KB
seby92
Change de banque, y en a plein
manu0086
AlexLex14:<br /> je précise que certaines personnes qui ont pu témoigner sont, je cite, « sensibles aux risques de cybersécurité. »<br /> Et dans le même temps, tu donnes deux sites où ces personnes balancent leur mail et mot de passe… être sensible ne signifie pas avoir un minimum de connaissances.<br /> Bref, ce ne sont que des témoignages de personnes que tu ne connais pas et tu prends à la lettre ce qu’elles disent.<br /> Et ça te suffit pour conclure qu’il y a une faille sur Amazon…<br /> Vu les quantités des données volées qui circulent actuellement, la source du problème est très probablement plus de ce côté là.
AlexLex14
manu0086:<br /> Et dans le même temps, tu donnes deux sites où ces personnes balancent leur mail et mot de passe… être sensible ne signifie pas avoir un minimum de connaissances.<br /> Bref, ce ne sont que des témoignages de personnes que tu ne connais pas et tu prends à la lettre ce qu’elles disent.<br /> Et ça te suffit pour conclure qu’il y a une faille sur Amazon…<br /> Encore une fois, tu es à côté.<br /> Je ne vais pas lever l’anonymat de mes sources pour te montrer qu’elles sont calées au niveau cybersécurité (l’une d’elle est d’un haut niveau technique ; et j’ai depuis reçu au moins deux autres témoignages de personnes - preuves/screens à l’appui - avec un sacré pedigree cyber aussi).<br /> Et concernant haveibeenpwned et howsecureismypassword (tu sembles faire un blocage là-dessus, mais j’ai mal amené le truc dans l’article, je le reconnais), là aussi : tu fais des raccourcis. Sur le second, la personne l’a testée avec un mot de passe dans l’esprit similaire, mais pas son mot de passe exact évidemment. Et haveibeenpwnd n’est qu’un des outils de son arsenal de protection.<br /> Je ne te demande pas d’être d’accord avec l’article ni avec moi. Mais essayer de décrédibiliser le travail qu’il y a eu derrière et celles et ceux qui ont accepté de parler, c’est (facile, inutile) assez vache je trouve
sshenron
Lorsque tu développes ta boutique e-commerce. Tu peux (dois?) prendre un module bancaire. Ce module est géré par la banque directement:<br /> en tant qu’utilisateur tu te sens mieux protégé<br /> en tant que commerçant / développeur tu n’as accès a rien. Simplement un code qui te dira si oui ou non la transaction a bien eu lieu.<br /> Maintenant cette utilisation du module bancaire est au bon vouloir du commerçant / développeur. Les sites comme Amazon, La Fnac (? je ne sais plus), tu rentres tes info bancaires directement sur leur plateforme.
sauron03112018
Ce serait bien qu’ils proposent une double authentification basée sur un code aléatoire dans une application dédiée plutôt que sur l’envoi d’un SMS.
idhem59
Ce n’est pas déjà le cas ? J’ai bien mon compte Amazon dans mon vault Authy.<br /> A moins qu’on ne parle pas de la même chose.
Pierre771
C’est ce que j’allais dire
sauron03112018
Je pensais plutôt à un code aléatoire généré par google authenticator.<br /> Edit : en fait ça y est. Je viens juste de trouver l’option.
idhem59
On parle bien de la même chose alors. Authy et Google Authenticator, c’est la même chose.<br /> Dans mon compte Amazon, j’ai bien la possibilité d’utiliser une application comme support 2FA :<br />
ld9474
sshenron:<br /> u’utilisateur tu te sens mieux protégé<br /> en tant que commerçant / développeur tu n’as accès a rien. Simplement un code qui te dira si oui ou non la transaction a bien eu lieu.<br /> Maintenant cette utilisation du module bancaire est au bon vouloir du commerçant / développeur. Les sites comme Amazon, La Fnac (? je ne sais plus), tu rentres tes info bancaires directement sur leur plateforme.<br /> Pas exactement en fait. Tu as une iframe dans laquelle tu saisies tes données bancaires, donc c’est bien sur leur site que ca se passe. De cette iFrame tu reçois un message avec un Token représentant la CB du client. Ce token sert pour le paiement mais peut être stocké pour des utilisations ultérieures. Donc le numéro de CB n’est pas stocké mais c’est le token qui l’est.
sshenron
C’était un peu ce que j’avais en tête Par «&nbsp;commerçant / développeur tu n’as accès a rien&nbsp;» je faisais référence à une Iframe et «&nbsp;code&nbsp;» j’entendais Token.<br /> Qu’entends tu par «&nbsp;stocké pour des utilisations ultérieures&nbsp;». J’espère qu’il n’est pas possible de réutiliser le token pour une nouvelle transaction …
mickaelm
Tout simplement un employé amazon mal intentionné…
juju251
@mickaelm<br /> Et évidemment, tu as des preuves de ce que tu avances ?
mickaelm
Presse-citron – 8 Oct 18<br /> Licencié d'Amazon pour avoir vendu des informations personnelles<br /> Suite à une fuite de données interne, l'entreprise de Jeff Bezos a pris des mesures, toutefois, on ne peut pas vraiment considérer que cela soit vraiment satisfaisant pour garantir une protection de nos données.<br />
jvachez
Le problème chez Amazon c’est surtout le stockage systématique des numéros de CB.<br /> Faut aller soit même la supprimer après chaque commande.<br /> Avec une e-carte bleue si on ne fait pas le ménage les numéros s’entassent. Il arrive même parfois que les commandes ne redemandent pas le numéro de CB ce qui provoque un problème de paiement si l’on ne pense pas à aller le changer à la main au plus vite puisque l’e-carte bleue bloque cela.
simdia
Avec toute cette belle propagande sur les pirates informatiques (« hackers ») on va bientôt demander aux gens leurs empreintes digitales, rétiniennes, leur ADN et probablement obligé les gens à porter différentes puces électroniques dans leur corps, insérer dès la sortie du vagin de leurs mères, et tout ça pour le grand plaisir des agences comme la NSA, CIA, FBI, et celles européennes et autres.<br /> Et les gens seront tout content de donner toutes ces « informations ».<br /> Dans moins de 25 ans il sera très facile d’accuser n’importe qui de n’importe quoi. D’ailleurs c’est déjà possible avec toutes les données biométriques que ces merveilleuses agences détiennent.<br /> Mais dans moins de 25 ans se sera encore plus facile et il y aura encore plus de données.<br /> Le meilleur des mondes quoi !
GRITI
simdia:<br /> insérer dès la sortie du vagin de leurs mères<br /> Ca, c’est e partant du principe qu’il y aura des grossesses et naissances à l’ancienne…
ld9474
sshenron:<br /> Qu’entends tu par « stocké pour des utilisations ultérieures ». J’espère qu’il n’est pas possible de réutiliser le token pour une nouvelle transaction …<br /> Si, si c’est bien ce qui m’a été dit: on stocke un token correspondant à la CB du client. A priori ce token n’est exploitable que par la solution de paiement et ne contient pas le numéro de CB
genesya
c’est étonnant que personne ne nous prenne au sérieux quand on ne source pas de suite, parce que pas envie à ce moment là.<br /> On a des nouvelles ?<br /> Parce que d’après amazon aucune communication de contournement de MFA et pour ceux qui utilise Google authenticator idem aucune communication de la part de Google.<br /> Donc les bonnes pratiques :<br /> 1 activer le MFA avec Google authenticator<br /> 2 je saisi ma carte à chaque nouvelle commande<br /> 3 je supprime ma carte après ma commande.<br /> faut par me dire que c’est chiant, on ne passe pas une commande sur amazon tous les quart d’heures.<br /> Un jour peut être on saura ce qu’il s’est passé … ou pas.<br /> sinon j’ai trouvé une lecture cool sur amazon Hacking-Multifactor-Authentication-Roger-Grimes
AlexLex14
genesya:<br /> Un jour peut être on saura ce qu’il s’est passé … ou pas.<br /> Aucune nouvelle. Silence radio chez Amazon. Ce qui peut confirmer qu’il y a un truc, car sinon nous aurions reçu un démenti en bonne et due forme avec droit de réponse, et ce très rapidement… Et comme le truc ne s’est pas ébruité, cela contente tout le monde.<br /> En attendant, pas mal de gens sur Twitter notamment ont fait face à ce piratage (accès distant au compte + commande passée et considérée comme livrée), qui ne reste pas massif mais assez disparate.
genesya
les clients piratés auraient ils un point commun, genre ayant réalisé un achat sur un des ces 570 sites ? ( sait on jamais )<br /> Génération-NT<br /> Piratage : 570 sites de vente en ligne concernés, 25 sites Français, des...<br /> Un piratage d'envergure a récemment eu lieu 570 sites d'e-commerce ont ainsi été piratés, dont 25 sont localisés en France<br />
yoda_net
Ils utilisent des numéros de suivis qui ont déjà été expédiés et sont en cours de livraison (hors Amazon). En entrant ces suivis la commande se retrouve comme expédiée et rapidement derrière, reçue. Il n’y a aucun produit, et aucune réelle expédition, juste une facturation d’un faux produit qui n’existe même pas par un faux vendeur market place qui s’évapore dans la nature<br /> «&nbsp;Le faux acheteur, une fois sur le compte du client, commande le produit, qui se trouve être déjà expédié depuis plusieurs jours puis livré par le vendeur, comme par miracle. Enfin, la commande est immédiatement débitée, et le faux vendeur disparaît&nbsp;»
ellimac2991
Salut à tous,<br /> Il vient de m’arriver exactement ce qui est dit dans l’article. Je travailles dans le web donc je vous laisse imaginer que niveau sécurité je suis de base plutôt bien dotée et au courant des différentes arnaques et risques.<br /> Hier soir j’ai eu la surprise de recevoir 3 mails de confirmation de commandes chez Amazon pour un total avoisinant les 950€… heureusement, j’ai pu annuler les commandes à temps et normalement je ne serais pas débitée (encore à voir avec ma banque).<br /> Ce que je ne comprends pas, non seulement j’ai la connexion en 2 étapes (je n’ai reçu aucune demande par SMS ou par l’appli) mais en plus de ça, normalement, je reçois des mails lors de nouvelles connexions (je n’ai reçu aucun mail). On rajoute la dessus le fait que j’ai une clé digitale que je dois rentrer sur l’application de ma banque et cela peu importe le site ou le montant d’achat et cette clé ne m’a pas été demandée… Réellement, avec toutes les sécurités que j’ai mises en place et le fait que je fasse attention à où je laisse trainer mes données bancaires (clairement les sites contrefaits et non sécur, je les reconnait, c’est mon métier…), on parle d’amazon là, pas d’un site de vêtements chinois. Je ne comprends pas comment ils ont pu arriver à passer 3 commandes (2 x 260€ + 450€ quand même !) sans que je n’ai aucune action à faire (ne serait ce que ma clé digitale bancaire !!).<br /> C’est plus qu’une faille dans leurs systèmes là si ils arrivent même à déjouer les sécurités bancaires !!<br /> Bref. Je m’en vais me préparer pour passer un savon à ma banquière. Pas très sérieux leur sécurité.<br /> En attendant si l’un de vous a des conseils, astuces ou nouvelles sur l’affaire en cours, je suis preneuse !<br /> Merci <br /> Ah et j’ai oublié de préciser, l’envoie se faisait sur mon adresse postale mais je n’avais pas le suivi qui était directement «&nbsp;livré&nbsp;» ni de colis envoyés pourtant je me suis rendue compte de la fraude 1h environ plus tard.
juju251
ellimac2991:<br /> En attendant si l’un de vous a des conseils, astuces ou nouvelles sur l’affaire en cours, je suis preneuse !<br /> Mon conseil numéro 1 : Ne jamais stocker les moyens de paiements sur aucun site marchand, quel qui soit.<br /> En revanche, le fait que cela te soit arrivé hier indiquerait que cette faille / exploitation serait toujours en cours ?!
AlexLex14
juju251:<br /> En revanche, le fait que cela te soit arrivé hier indiquerait que cette faille / exploitation serait toujours en cours ?! <br /> De ce que j’ai pu comprendre… les attaques sont sporadiques. Plusieurs en quelques heures, puis plus rien pendant deux jours, etc. etc. Pour en avoir parlé encore hier avec un spécialiste cyber, ce manque de ponctualité dans les attaques permettraient aux hackers de ne pas se «&nbsp;faire remarquer.&nbsp;» Le silence d’Amazon me paraît toujours aussi étonnant…
ellimac2991
En effet. Aucun moyen de les contacter, ni de dénoncer le vendeur. Service client plus que déplorable ! J’ai bien entendu directement annulé mon compte Amazon prime et pris la grande décision d’envoyer se faire *** ce géant du web.
ellimac2991
Oui c’est ce que je fais en temps normal mais là vu que j’ai un abonnement j’étais obligée de l’enregistrer… On ne m’y reprendra plus !<br /> Mais oui la faille est encore active et réellement dangereuse. Je ne suis pas une novice dans la cyber sécurité et ils ont réussi à m’avoir…
K702
C’est quand même dingue que cette faille fasse toujours des victimes et que ça soit le silence complet du côté de chez Amazon … J’imagine qu’en interne ils doivent chercher à résoudre le problème, enfin j’espère, mais bon en attendant ça fait probablement plusieurs centaines de milliers, voir plus, de victimes potentielles qui ne peuvent pas imaginer qu’ils risquent de se faire escroquer à tout moment !<br /> Franchement moi Amazon c’était le le seul site sur lequel je laissais ma CB en permanence, conseillant même à mes parents de le faire également. Je sais pertinemment qu’il ne faut jamais laisser son moyen de payement sur un site, je fais toujours super gaffe, limite parano, mais bon je me disais oh quand même c’est Amazon, et puis bon double authentification je ne risques rien … Oui ben ça c’était avant
genesya
incroyable qu’une information aussi explosive et totalement ignorée par Amazon n’est toujours pas éclatée au grand jour<br /> Et que finalement tout se passe comme si rien ne s’était jamais passé … je m’attendais à une update du Top 10 most notorious cyber attacks in history !<br /> c’est triste de faire des fausses joies aux gens.
AlexLex14
genesya:<br /> incroyable qu’une information aussi explosive et totalement ignorée par Amazon n’est toujours pas éclatée au grand jour<br /> Sans vouloir critiquer mes confrères ou quelconque média, j’ai coutume de dire que si le dossier était sorti sur Mediapart, tu en aurais entendu parler jusque que sur TF1. Hélas, les pure players n’ont pas droit à cette reconnaissance <br /> Et sinon, les hackers sont malins, ils font en sorte que la situation ne paraisse pas si alarmante, pour rester un peu «&nbsp;hors de portée.&nbsp;»
GRITI
On peut s’interroger sur ce silence radio des médias…
genesya
ce qui est très très étonnant c’est qu’aucun des protagonistes s’étant fait voler 400€ alors que le MFA était activé, n’ait porté l’affaire devant un tribunal pour au moins demander la nomination d’un expert et avoir obtenu sa nomination (vu le dossier étayé) et faire avancer le dossier au moins un peu même si çà prend 2 ans pour aller au fond du dossier, un contournement avéré de MFA çà ne peut pas en rester là. y’a un truc dans ce dossier.
GRITI
Perso, si une chose pareil m’arrive et qu’Amazon me rembourse tous les frais engendrés je ne porterai pas plainte. Pas envie de me lancer dans une longue procédure judiciaire.<br /> Par contre, j’en parlerai très fortement autour de moi et tirerai sans doute des leçons sur le commerce en ligne et les précautions à prendre pour ne pas se faire à nouveau avoir.<br /> De toute façon, par défaut, les rares fois où je commande sur Amazon, je supprime ma carte bleue dès la commande passée.
sge42
J’ai eu un truc assez bizarre sur ce sujet. Courant mai, j’ai reçu effectivement des messages que quelqun essayait de se connecter à mon compte Amazon (de mon département et de la chine) (j’ai pensé que c’était du spam), puis mi-septembre, je reçois 3 mails m’informant que mes commandes Amazon allaient être livrés (la encore, j’ai pas osé cliquer dessus pensant encore à du phishing)… mais sur le compte Amazon aucune commande. Mais 3 jours après, je reçois les produits en question (des trucs que je n’ai jamais commandé de toute ma vie : Tensiometre, ub et produit de moisissure)… J’appelle Amazon qui me dit qu’il y a bien ces commandes sur mon compte. J’enlève mes CB, je vais opposition à la carte utilisée, je change mes codes et renvois les produits en question pour remboursement. Et aujourd’hui je reçois 3 mails d’Amazon qui me remercie de mes commentaires (que je n’ai jamais écrit), commentaires super positif de ces produits… Mystère total : nouvelle technique marketing/hack pour générer des avis ???
tfpsly
… mais sur le compte Amazon aucune commande.<br /> Vérifier dans les commandes passées et/ou cachées.<br />
Vincent_ROBERT1
Bonjour,<br /> pour info la faille existe toujours ! Une commande a été passée ce matin sur le compte de mon épouse. Mot de passe fort (1password) + 2FA activé et pourtant ils ont réussi à se connecter.<br /> Ces petits malins mettent la commande en archivée pour qu’elle ne soit pas visible !<br /> Je viens d’appeler Amazon, ils vont enquêter.<br /> La commande en question n’est que de 1€ mais c’est la porte ouverte à des fraudes plus massives.<br /> Pour info, on avait déjà eu, il y a quelques mois, des mails d’Amazon indiquant que nos commentaires sur des produits avait été publiés. Commentaires que nous n’avions jamais fait, et qui existaient bel et bien sur le site.<br /> Les mails Amazon étaient bien des vrais, pas de pishing. Les commentaires existaient vraiment.<br /> A suivre … En attendant je retire tous mes moyens de paiement.
Indus_F
Moi je me suis fait pirater cette semaine…<br /> Je reçois un colis Amazon alors que j’ai rien commander, étrange j’ouvre c’est les articles que j’avais dans mon panier, je me suis dit Amazon a un soucis…<br /> Je vais sur mon compte et je vois qu’il y a aussi une carte cadeau de 100€, mais elle n’est pas passé car j’avais vidé mon compte pour faire un gros achat et j’avais rien remis.<br /> Du coup les articles sont passer mais pas la carte cadeau par chance.<br /> Le pire c’est que pour Amazon tout va bien en plus d’être forcement ma faute…<br /> -Nous n’avons pas d’informations sur la manière dont cette personne a obtenu vos informations de connexion, car cela s’est produit en dehors de nos sites Web. Les techniques sont notamment l’utilisation de logiciels malveillants qui enregistrent le mot de passe de l’utilisateur et l’envoi d’e-mails frauduleux demandant des informations sur le compte.<br /> -nous vous recommandons également de modifier le mot de passe de votre fournisseur de messagerie et les mots de passe pour d’autres sites Web afin d’éviter que votre compte soit à nouveau compromis.<br /> Alors déjà j’installe pas n’importe quoi sur mon PC, depuis presque 20 ans j’ai jamais répondu à un mail qui me demande des infos en plus il suffi de voir l’adresse de l’expéditeur et j’ai pas le même mot de passe partout.<br /> Car j’ai travailler en informatique, monteur, vendeur etc.<br /> Et j’avais un mot de passe très correct et aussi A2F et j’ai reçu aucune notification de connexion.<br /> Amazon vie dans le déni alors qu’il suffit de faire une recherche Google pour voir qu’en 2020 je suis pas le seul et j’ai même lu la même technique que moi avec commande du panier et la carte cadeau, «&nbsp;cela s’est produit en dehors de nos sites Web&nbsp;» cette blague.<br /> Le problème c’est que tout est fait pour passer une commande rapidement du coup il ne demande jamais rien quand je passe commande, pas de 3D secure, pas de demande du code CVV de la CB ni autre.
alain47
cette faille existe toujours, elle continue d’être utilisée, incroyable qu’amazon n’ai pas trouvé de solution, a notre niveau le seul moyen de parade c’est de ne pas avoir de carte bleue enregistrée, vu qu’Amazon n’est pas capable de sécurisé nos données perso
AlexLex14
Et oui Alain <br /> Et surtout incroyable que personne ne l’ai relayée. Je suis hyper étonné, mais bon, délit de faciès, nous ne sommes pas Le Monde, Mediapart, Libé ou Le Figaro, donc nos enquêtes ne valent rien… (Oui je suis un peu énervé ^^)
K702
C’est vrai que c’est vraiment étonnant que cette affaire ne fasse pas plus de bruit, surtout depuis le temps que ça dure …<br /> Et c’est vraiment choquant d’apprendre qu’Amazon n’aurait toujours pas trouvé de solution concernant cette faille… Même si les auteurs ont l’air de prendre pas mal de précautions pour se faire remarquer le moins possible, je pense quand même qu’Amazon est au courant de la situation et qu’ils ont quand même les moyens de trouver d’où ça vient, c’est vraiment dingue cette histoire !<br /> Ou alors… Ou alors c’est Jeff en personne qui est caché derrière tout ça, peut-être qu’il est un peu en galère pour payer ses fusées du coup il a monté cette arnaque
Voir tous les messages sur le forum

Actualités du moment

Discord vise au-delà du gaming
Pour l'avenir de son service Cloud, Amazon regarde vers les étoiles
La FCC classifie Huawei et ZTE comme des menaces pour la sécurité nationale
Karma Automotive s'approche de l'insolvabilité
Apple Arcade : la sortie de plusieurs jeux annulées pour cause de repositionnement stratégique
Apple retire discrètement le serveur web Zoom caché via une mise à jour sur Mac
Les meilleures séries d'anthologie
Les meilleurs series animes
Black Friday Amazon : Microsoft Surface Pro 7 à 799€ au lieu de 1069€
RED, Free, B&You ou Sosh : quel forfait pas cher et sans engagement choisir ?
Haut de page