Dans l’article ils disent qu’avant le piratage du compte et la fausse commande, les pirates envoient des lettres recommandées bidons a des adresse bidons, et ils utilisent ce numéro de suivi ensuite pour faire croire que les commandes sont arrivées. (Ils sont à la fois pirates acheteurs et vendeurs, donc ils trafiquent les numéros de suivis des envois que donne leur compte vendeur.)
l’OTP provient de SNS comme tous les services AWS. il suffit que tu ais saisies ton n° de tel pour que le service l’utilise, mais c’est étrange comme système habituellement on préfère google authenticator.
La manière dont il s’y est pris, évidement je n’en sais rien mais je suis pret a parier 750 milliards de brouzoufs virtuels, qu’il n’y a pas de vulnérabilité dans le MFA d’amazon… ce qui est très étrange dans cette histoire c’est que :
- Le MFA s’active que lorsque tu as le bon mot de passe
- Je doute que ton mot de passe soit MyP@ss0rd01!
- Le bruteforce n’étant pas possible sur aws la question se pose
- Comment a t il eut ton mot de passe ?
- Et pour récupérer le code sms je doute qu’il ait fait un man in the middle avec une antenne radio maison, et un certificat temporaire pour exploiter la faille ss7 … cf zataz
de deux choses l’une soit c’est ton épouse qui bosse au mossad, soit c’est un binome interne chez aws et ils vont finir en taule ( toutes les taches administratives sont exécutées à deux personnes ) ce qui serait intéressant c’est d’avoir le fin mot de l’histoire et surtout si cela fera l’ouverture du prochain summit comme découverte de la faille du siècle.
et du coup je perdrai mes brouzoufs. #popcorn
J’avais déjà vu il y a quelques mois des problèmes de ce genre tourner sur les sites genre 50 millions de consommateurs, où c’était des employés d’Amazon qui étaient soupçonnés de détourner les comptes clients pour faire les commandes à ces fameux vendeurs fantômes
« dit Martial, qui pour sa part assurait un maximum de sécurité (via haveibeenpwned et howsecureismypassword). »
Quand on commence à « sécuriser » de cette façon, c’est mal parti… perso, j’irai même pas chercher plus loin.
3 « J'aime »
On verra, j’ai signalé l’incident à Amazon.
Je croise les doigts pour tes brouzoufs.
Je reste persuadé d’une 0-day. Je resterai à l’écoute de mes homologues au CLUSIF/CIGREF pour voir si le sujet est abordé.
Pas la peine de faire un vrai envoir si le pirate est le vendeur fictif : il n’envoie rien, mais vu qu’il a accès au compte, il peut payer et immédiatement indiquer qu’il a bien reçu la commande.
Aux USA, le MFA juste basé sur un téléphone (SMS par ex) est facile à passer : beaucoup d’opérateurs ont déjà « jeté en pature » le numéro de clients en le réaffectant à des pirates, appelant avec un minimum de connaissance sur leur cible (nom, numéro de sécu sociale…) et disant avoir perdu leur téléphone. Une fois la ligne choppée, le pirate reçoit tous les messages de vérification de compte.
Mais je pense que ce serait mentionné ici si c’était le cas.
Vous faites confiance à howsecureismypassword ???
Pas con comme site pour récolter les mots de passe des gens.
De plus, ils ne semblent évaluer que la force brute et pas les dictionnaires.
« Motdepasse » : 1 mois
Ben tiens…
2 « J'aime »
Dans cette histoire ce qui m’interpelle c’est justement…que les clients aient reçu une notification 
. Si les gars ont eu accès au compte des acheteurs c’est qu’ils ont aussi eu accès aux paramètres du compte. Donc pourquoi ne pas avoir changé l’email ? C’est nettement plus discret.
Concernant le SMS Il n’y avait pas une histoire il y a quelques temps avec un malware dans certaines applications Android ?
(style App quelque chose comme ça)
oui je comprends et ce qui confirme, ou n’infirme pas, ce que je disais :
MFA = multi factor authentification
0- Enter user and password
1- mot de passe ( failed goto 0 ) on ne passe jamais à l’étape 2
2- Enter MFA code
Donc comment ont ils euent le mot de passe ?
Ensuite si il avait le mot de passe
comment ont ils euent le MFA ?
y’a forcement une faille interne chez eux et si amazon remboursent sans rechigner c’est pour mener l’enquête sereinement et en parler dans la presse c’est juste utile à avertir le voleur qui du coup pourrait disparaître dans la nature, en général on en parle a zataz puis ensuite on publie une fois le voleur arrêté, enfin je crois
La confirmation avec un code sms, c’est une chose. C’est un peu aléatoire, je pense qu’ils le font en priorité pour les montants > 100€, les transactions multiples sur un même site, ou sur un nouveau site. Pour certaines choses ça ne me l’a jamais fait (achats dans guild wars 2 par exemple). Ça n’empêche en aucun cas de mettre son numéro de CB en « danger » si on doit l’envoyer vers un site mal sécurisé, ou qui l’enregistre (éventuellement à ton insu), ou qui par défaut te fait entrer dans un prélèvement mensuel/annuel sauf si tu annules, etc. Et comme on est loin d’avoir un sms à chaque transaction, si ton numéro de cb se retrouve entre des mains peu scrupuleuses (que ça soit quelqu’un qui travaille sur le site ou un attaquant), il pourra l’utiliser.
Mon message ne portait en réalité pas sur ce point, mais répondait à celui du dessus concernant les e-cb. Il s’agit de cartes à usage unique, avec un montant prédéfini ou plafonné, que tu créé en quelques cliques depuis ta banque en ligne afin de procéder à un paiement en ligne sans jamais mettre autre chose en risque que la somme à payer. Les autres banques le proposent. Le CA ne le propose pas !!!
Et tant qu’on parle de la sécurité des CB au CA, un autre point (mais il relève peut-être plus de la société mastercard ?) : le code à 3 chiffres (achats internet) est stupidement imprimé sur la carte. Contrairement à celui à 4 chiffres (achats physiques) qui t’es envoyé par courrier séparé. Ils devraient envoyer le code à 3 chiffres lui aussi par courrier séparé. Et même mieux : le rendre évolutif (qu’il change à chaque transaction).
1 « J'aime »
+1
Moi je suis pas con, j’ai appris par coeur les chiffres de la double authentication 
on me l’a fait pas à moi 
2 « J'aime »
Tu as des aggregateurs de comptes bancaires qui te proposent des e-cartes, type Max. C’est gratuit et ça fonctionne plutôt bien.
Alors en fait je suis perplexe. Je suis en train de mettre en place une boutique pour un client et le prestataire de paiement me dit que c’est un fait un token qui est sauvegardé et que ce token est lié au marchand et ne peut (en théorie) pas être utilisé. Ou est la vérité?
Je ne dis pas qu’il n’y a pas de soucis côté Amazon, et que leur double-authentification est efficace, mais là le soucis premier, c’est côté utilisateur.
Je m’excuse d’avance, mais votre article est à chier et basé seulement sur des témoignages de quelques personnes isolées… personnes étant peu regardantes sur la sécurité, et surtout vous ne prenez même pas la peine de parler réellement sécurité! [… ] mais là le soucis premier, c’est côté utilisateur.
Et quel élément factuel a-tu, pour arriver si vite à cette conclusion? Aucun. « Je m’excuse d’avance, mais votre commentaire est à chier »
Pour l’instant on a des screenshots montrant une livraison datée 3 jours avant la commande, avec des noms de vendeur composés de caractères aléatoires. Et Amazon qui aurait remboursé immédiatement sans broncher.
Des vendeurs/voleurs de ce type, y’en a sur toutes les plateformes d’e-commerce, y’a rien de nouveau… et Amazon rembourse facilement comme la majorité des plateformes vu que leur responsabilité est engagée.
Le problème de vol/accès au compte de clients, par contre, c’est plus côté utilisateur le problème contrairement à ce que l’article semble vouloir dire.
La double-authentification Amazon est certes pas la meilleure, (d’ailleurs elle n’était même pas obligatoire il y a encore peu il me semble, et la non obligation d’entrer un code pour les achats facilite encore plus le vol), c’est pas pour autant qu’il y a une faille technique derrière.
Le bypass MFA est super simple.
Que l’authentification soit classique ou renforcée via du MFA, à la fin le browser ne connait qu’une seule chose d’Amazon, le cookie de session.
Si un moyen quelquonque permet de récupérer ce cookie alors vous êtes authentifié sans avoir besoin de connaître de mot de passe ou besoin d’un OTP.
Je soupçonne une faille XSS dans le mode MFA qui permettrait de récupérer discrètement ce fameux cookie.
Merci pour toute cette gentillesse 
(bon en même temps, derrière un écran…).
Tu vois, tu n’as pas lu l’intégralité de l’article, ni certains des commentaires. Je peux au moins t’assurer que deux des personnes touchées sont bien bien calées en informatique et ont donc veillé à être prudentes au niveau sécurité. Donc au lieu de TOI, faire des raccourcis (qu’en sais-tu que ce sont des personnes « peu regardantes » ?), sois plus attentif dans ta lecture, d’autant plus qu’à moment donné dans l’article, je précise que certaines personnes qui ont pu témoigner sont, je cite, « sensibles aux risques de cybersécurité. »
Donc bon, je comprends que tu aies des doutes (c’est pas interdit) et il y a un usage du conditionnel dans le titre et le chapô, mais il y a suffisamment d’éléments (et de témoignages factuels qui viennent s’ajouter depuis, j’en ai même reçu par mail et en privé sur Twitter depuis la publication) qui tendent à démontrer qu’il y a couille dans le potage.
1 « J'aime »
Bonjour, j’ai pour ma part reçu une notification (mail : Amazon Security Alert : Sign-in from new device detected) le 21/06/2020 de connexion d’un nouveau device à mon compte à partir d’une ville (Zhejang) en Chine. J’ai immédiatement demandé la déconnexion de cette machine, changé mon mot de passe et supprimé mon moyen de paiement… Pas de commande frauduleuse passée sur mon compte.
Par contre ils ont bien réussi à se connecter sur celui-ci…
J’ai bien l’authentification en 2 étapes (2SV) d’activée… !
Pour information pas reçu de SMS avec un code de validation…!
Les n° de téléphones pour la validation n’ont pas été changés.
Et mon mot de passe correspondant aux standards de sécurité.
(22 caractères, Maj/Min/Chiffres & Caractères spéciaux…)
