Change de banque, y en a plein
Et dans le même temps, tu donnes deux sites où ces personnes balancent leur mail et mot de passe… être sensible ne signifie pas avoir un minimum de connaissances.
Bref, ce ne sont que des témoignages de personnes que tu ne connais pas et tu prends à la lettre ce qu’elles disent.
Et ça te suffit pour conclure qu’il y a une faille sur Amazon…
Vu les quantités des données volées qui circulent actuellement, la source du problème est très probablement plus de ce côté là.
Encore une fois, tu es à côté.
Je ne vais pas lever l’anonymat de mes sources pour te montrer qu’elles sont calées au niveau cybersécurité (l’une d’elle est d’un haut niveau technique ; et j’ai depuis reçu au moins deux autres témoignages de personnes - preuves/screens à l’appui - avec un sacré pedigree cyber aussi).
Et concernant haveibeenpwned et howsecureismypassword (tu sembles faire un blocage là-dessus, mais j’ai mal amené le truc dans l’article, je le reconnais), là aussi : tu fais des raccourcis. Sur le second, la personne l’a testée avec un mot de passe dans l’esprit similaire, mais pas son mot de passe exact évidemment. Et haveibeenpwnd n’est qu’un des outils de son arsenal de protection.
Je ne te demande pas d’être d’accord avec l’article ni avec moi. Mais essayer de décrédibiliser le travail qu’il y a eu derrière et celles et ceux qui ont accepté de parler, c’est (facile, inutile) assez vache je trouve 
1 « J'aime »
Lorsque tu développes ta boutique e-commerce. Tu peux (dois?) prendre un module bancaire. Ce module est géré par la banque directement:
- en tant qu’utilisateur tu te sens mieux protégé
- en tant que commerçant / développeur tu n’as accès a rien. Simplement un code qui te dira si oui ou non la transaction a bien eu lieu.
Maintenant cette utilisation du module bancaire est au bon vouloir du commerçant / développeur. Les sites comme Amazon, La Fnac (? je ne sais plus), tu rentres tes info bancaires directement sur leur plateforme.
Ce serait bien qu’ils proposent une double authentification basée sur un code aléatoire dans une application dédiée plutôt que sur l’envoi d’un SMS.
Ce n’est pas déjà le cas ? J’ai bien mon compte Amazon dans mon vault Authy.
A moins qu’on ne parle pas de la même chose.
C’est ce que j’allais dire
Je pensais plutôt à un code aléatoire généré par google authenticator.
Edit : en fait ça y est. Je viens juste de trouver l’option.
On parle bien de la même chose alors. Authy et Google Authenticator, c’est la même chose.
Dans mon compte Amazon, j’ai bien la possibilité d’utiliser une application comme support 2FA :
Pas exactement en fait. Tu as une iframe dans laquelle tu saisies tes données bancaires, donc c’est bien sur leur site que ca se passe. De cette iFrame tu reçois un message avec un Token représentant la CB du client. Ce token sert pour le paiement mais peut être stocké pour des utilisations ultérieures. Donc le numéro de CB n’est pas stocké mais c’est le token qui l’est.
C’était un peu ce que j’avais en tête 
Par « commerçant / développeur tu n’as accès a rien » je faisais référence à une Iframe et « code » j’entendais Token.
Qu’entends tu par « stocké pour des utilisations ultérieures ». J’espère qu’il n’est pas possible de réutiliser le token pour une nouvelle transaction …
Tout simplement un employé amazon mal intentionné…
Le problème chez Amazon c’est surtout le stockage systématique des numéros de CB.
Faut aller soit même la supprimer après chaque commande.
Avec une e-carte bleue si on ne fait pas le ménage les numéros s’entassent. Il arrive même parfois que les commandes ne redemandent pas le numéro de CB ce qui provoque un problème de paiement si l’on ne pense pas à aller le changer à la main au plus vite puisque l’e-carte bleue bloque cela.
Avec toute cette belle propagande sur les pirates informatiques (« hackers ») on va bientôt demander aux gens leurs empreintes digitales, rétiniennes, leur ADN et probablement obligé les gens à porter différentes puces électroniques dans leur corps, insérer dès la sortie du vagin de leurs mères, et tout ça pour le grand plaisir des agences comme la NSA, CIA, FBI, et celles européennes et autres.
Et les gens seront tout content de donner toutes ces « informations ».
Dans moins de 25 ans il sera très facile d’accuser n’importe qui de n’importe quoi. D’ailleurs c’est déjà possible avec toutes les données biométriques que ces merveilleuses agences détiennent.
Mais dans moins de 25 ans se sera encore plus facile et il y aura encore plus de données.
Le meilleur des mondes quoi !
Ca, c’est e partant du principe qu’il y aura des grossesses et naissances à l’ancienne…
Si, si c’est bien ce qui m’a été dit: on stocke un token correspondant à la CB du client. A priori ce token n’est exploitable que par la solution de paiement et ne contient pas le numéro de CB
c’est étonnant que personne ne nous prenne au sérieux quand on ne source pas de suite, parce que pas envie à ce moment là.
On a des nouvelles ?
Parce que d’après amazon aucune communication de contournement de MFA et pour ceux qui utilise Google authenticator idem aucune communication de la part de Google.
Donc les bonnes pratiques :
1 activer le MFA avec Google authenticator
2 je saisi ma carte à chaque nouvelle commande
3 je supprime ma carte après ma commande.
faut par me dire que c’est chiant, on ne passe pas une commande sur amazon tous les quart d’heures.
Un jour peut être on saura ce qu’il s’est passé … ou pas.
sinon j’ai trouvé une lecture cool sur amazon Hacking-Multifactor-Authentication-Roger-Grimes
Aucune nouvelle. Silence radio chez Amazon. Ce qui peut confirmer qu’il y a un truc, car sinon nous aurions reçu un démenti en bonne et due forme avec droit de réponse, et ce très rapidement… Et comme le truc ne s’est pas ébruité, cela contente tout le monde.
En attendant, pas mal de gens sur Twitter notamment ont fait face à ce piratage (accès distant au compte + commande passée et considérée comme livrée), qui ne reste pas massif mais assez disparate.