Commentaires : Amazon : des hackers auraient réussi à contourner la double authentification

les clients piratés auraient ils un point commun, genre ayant réalisé un achat sur un des ces 570 sites ? ( sait on jamais )

Ils utilisent des numéros de suivis qui ont déjà été expédiés et sont en cours de livraison (hors Amazon). En entrant ces suivis la commande se retrouve comme expédiée et rapidement derrière, reçue. Il n’y a aucun produit, et aucune réelle expédition, juste une facturation d’un faux produit qui n’existe même pas par un faux vendeur market place qui s’évapore dans la nature

« Le faux acheteur, une fois sur le compte du client, commande le produit, qui se trouve être déjà expédié depuis plusieurs jours puis livré par le vendeur, comme par miracle. Enfin, la commande est immédiatement débitée, et le faux vendeur disparaît »

Salut à tous,
Il vient de m’arriver exactement ce qui est dit dans l’article. Je travailles dans le web donc je vous laisse imaginer que niveau sécurité je suis de base plutôt bien dotée et au courant des différentes arnaques et risques.
Hier soir j’ai eu la surprise de recevoir 3 mails de confirmation de commandes chez Amazon pour un total avoisinant les 950€… heureusement, j’ai pu annuler les commandes à temps et normalement je ne serais pas débitée (encore à voir avec ma banque).
Ce que je ne comprends pas, non seulement j’ai la connexion en 2 étapes (je n’ai reçu aucune demande par SMS ou par l’appli) mais en plus de ça, normalement, je reçois des mails lors de nouvelles connexions (je n’ai reçu aucun mail). On rajoute la dessus le fait que j’ai une clé digitale que je dois rentrer sur l’application de ma banque et cela peu importe le site ou le montant d’achat et cette clé ne m’a pas été demandée… Réellement, avec toutes les sécurités que j’ai mises en place et le fait que je fasse attention à où je laisse trainer mes données bancaires (clairement les sites contrefaits et non sécur, je les reconnait, c’est mon métier…), on parle d’amazon là, pas d’un site de vêtements chinois. Je ne comprends pas comment ils ont pu arriver à passer 3 commandes (2 x 260€ + 450€ quand même !) sans que je n’ai aucune action à faire (ne serait ce que ma clé digitale bancaire !!).
C’est plus qu’une faille dans leurs systèmes là si ils arrivent même à déjouer les sécurités bancaires !!
Bref. Je m’en vais me préparer pour passer un savon à ma banquière. Pas très sérieux leur sécurité.
En attendant si l’un de vous a des conseils, astuces ou nouvelles sur l’affaire en cours, je suis preneuse !
Merci :wink:

Ah et j’ai oublié de préciser, l’envoie se faisait sur mon adresse postale mais je n’avais pas le suivi qui était directement « livré » ni de colis envoyés pourtant je me suis rendue compte de la fraude 1h environ plus tard.

Mon conseil numéro 1 : Ne jamais stocker les moyens de paiements sur aucun site marchand, quel qui soit.

En revanche, le fait que cela te soit arrivé hier indiquerait que cette faille / exploitation serait toujours en cours ?! :open_mouth:

De ce que j’ai pu comprendre… les attaques sont sporadiques. Plusieurs en quelques heures, puis plus rien pendant deux jours, etc. etc. Pour en avoir parlé encore hier avec un spécialiste cyber, ce manque de ponctualité dans les attaques permettraient aux hackers de ne pas se « faire remarquer. » Le silence d’Amazon me paraît toujours aussi étonnant…

En effet. Aucun moyen de les contacter, ni de dénoncer le vendeur. Service client plus que déplorable ! J’ai bien entendu directement annulé mon compte Amazon prime et pris la grande décision d’envoyer se faire *** ce géant du web.

Oui c’est ce que je fais en temps normal mais là vu que j’ai un abonnement j’étais obligée de l’enregistrer… On ne m’y reprendra plus !

Mais oui la faille est encore active et réellement dangereuse. Je ne suis pas une novice dans la cyber sécurité et ils ont réussi à m’avoir…

C’est quand même dingue que cette faille fasse toujours des victimes et que ça soit le silence complet du côté de chez Amazon … J’imagine qu’en interne ils doivent chercher à résoudre le problème, enfin j’espère, mais bon en attendant ça fait probablement plusieurs centaines de milliers, voir plus, de victimes potentielles qui ne peuvent pas imaginer qu’ils risquent de se faire escroquer à tout moment !

Franchement moi Amazon c’était le le seul site sur lequel je laissais ma CB en permanence, conseillant même à mes parents de le faire également. Je sais pertinemment qu’il ne faut jamais laisser son moyen de payement sur un site, je fais toujours super gaffe, limite parano, mais bon je me disais oh quand même c’est Amazon, et puis bon double authentification je ne risques rien … Oui ben ça c’était avant :slight_smile:

1 « J'aime »

incroyable qu’une information aussi explosive et totalement ignorée par Amazon n’est toujours pas éclatée au grand jour

Et que finalement tout se passe comme si rien ne s’était jamais passé … je m’attendais à une update du Top 10 most notorious cyber attacks in history !

c’est triste de faire des fausses joies aux gens.

1 « J'aime »

Sans vouloir critiquer mes confrères ou quelconque média, j’ai coutume de dire que si le dossier était sorti sur Mediapart, tu en aurais entendu parler jusque que sur TF1. Hélas, les pure players n’ont pas droit à cette reconnaissance :frowning:

Et sinon, les hackers sont malins, ils font en sorte que la situation ne paraisse pas si alarmante, pour rester un peu « hors de portée. »

On peut s’interroger sur ce silence radio des médias…

ce qui est très très étonnant c’est qu’aucun des protagonistes s’étant fait voler 400€ alors que le MFA était activé, n’ait porté l’affaire devant un tribunal pour au moins demander la nomination d’un expert et avoir obtenu sa nomination (vu le dossier étayé) et faire avancer le dossier au moins un peu même si çà prend 2 ans pour aller au fond du dossier, un contournement avéré de MFA çà ne peut pas en rester là. y’a un truc dans ce dossier.

Perso, si une chose pareil m’arrive et qu’Amazon me rembourse tous les frais engendrés je ne porterai pas plainte. Pas envie de me lancer dans une longue procédure judiciaire.
Par contre, j’en parlerai très fortement autour de moi et tirerai sans doute des leçons sur le commerce en ligne et les précautions à prendre pour ne pas se faire à nouveau avoir.
De toute façon, par défaut, les rares fois où je commande sur Amazon, je supprime ma carte bleue dès la commande passée.

J’ai eu un truc assez bizarre sur ce sujet. Courant mai, j’ai reçu effectivement des messages que quelqun essayait de se connecter à mon compte Amazon (de mon département et de la chine) (j’ai pensé que c’était du spam), puis mi-septembre, je reçois 3 mails m’informant que mes commandes Amazon allaient être livrés (la encore, j’ai pas osé cliquer dessus pensant encore à du phishing)… mais sur le compte Amazon aucune commande. Mais 3 jours après, je reçois les produits en question (des trucs que je n’ai jamais commandé de toute ma vie : Tensiometre, ub et produit de moisissure)… J’appelle Amazon qui me dit qu’il y a bien ces commandes sur mon compte. J’enlève mes CB, je vais opposition à la carte utilisée, je change mes codes et renvois les produits en question pour remboursement. Et aujourd’hui je reçois 3 mails d’Amazon qui me remercie de mes commentaires (que je n’ai jamais écrit), commentaires super positif de ces produits… Mystère total : nouvelle technique marketing/hack pour générer des avis ???

… mais sur le compte Amazon aucune commande.
Vérifier dans les commandes passées et/ou cachées.

Bonjour,

pour info la faille existe toujours ! Une commande a été passée ce matin sur le compte de mon épouse. Mot de passe fort (1password) + 2FA activé et pourtant ils ont réussi à se connecter.
Ces petits malins mettent la commande en archivée pour qu’elle ne soit pas visible !
Je viens d’appeler Amazon, ils vont enquêter.
La commande en question n’est que de 1€ mais c’est la porte ouverte à des fraudes plus massives.
Pour info, on avait déjà eu, il y a quelques mois, des mails d’Amazon indiquant que nos commentaires sur des produits avait été publiés. Commentaires que nous n’avions jamais fait, et qui existaient bel et bien sur le site.
Les mails Amazon étaient bien des vrais, pas de pishing. Les commentaires existaient vraiment.

A suivre … En attendant je retire tous mes moyens de paiement.

Moi je me suis fait pirater cette semaine…
Je reçois un colis Amazon alors que j’ai rien commander, étrange j’ouvre c’est les articles que j’avais dans mon panier, je me suis dit Amazon a un soucis…
Je vais sur mon compte et je vois qu’il y a aussi une carte cadeau de 100€, mais elle n’est pas passé car j’avais vidé mon compte pour faire un gros achat et j’avais rien remis.
Du coup les articles sont passer mais pas la carte cadeau par chance.

Le pire c’est que pour Amazon tout va bien en plus d’être forcement ma faute…

-Nous n’avons pas d’informations sur la manière dont cette personne a obtenu vos informations de connexion, car cela s’est produit en dehors de nos sites Web. Les techniques sont notamment l’utilisation de logiciels malveillants qui enregistrent le mot de passe de l’utilisateur et l’envoi d’e-mails frauduleux demandant des informations sur le compte.
-nous vous recommandons également de modifier le mot de passe de votre fournisseur de messagerie et les mots de passe pour d’autres sites Web afin d’éviter que votre compte soit à nouveau compromis.

Alors déjà j’installe pas n’importe quoi sur mon PC, depuis presque 20 ans j’ai jamais répondu à un mail qui me demande des infos en plus il suffi de voir l’adresse de l’expéditeur et j’ai pas le même mot de passe partout.
Car j’ai travailler en informatique, monteur, vendeur etc.
Et j’avais un mot de passe très correct et aussi A2F et j’ai reçu aucune notification de connexion.

Amazon vie dans le déni alors qu’il suffit de faire une recherche Google pour voir qu’en 2020 je suis pas le seul et j’ai même lu la même technique que moi avec commande du panier et la carte cadeau, « cela s’est produit en dehors de nos sites Web » cette blague.

Le problème c’est que tout est fait pour passer une commande rapidement du coup il ne demande jamais rien quand je passe commande, pas de 3D secure, pas de demande du code CVV de la CB ni autre.

cette faille existe toujours, elle continue d’être utilisée, incroyable qu’amazon n’ai pas trouvé de solution, a notre niveau le seul moyen de parade c’est de ne pas avoir de carte bleue enregistrée, vu qu’Amazon n’est pas capable de sécurisé nos données perso

1 « J'aime »

Et oui Alain :persevere::weary:

Et surtout incroyable que personne ne l’ai relayée. Je suis hyper étonné, mais bon, délit de faciès, nous ne sommes pas Le Monde, Mediapart, Libé ou Le Figaro, donc nos enquêtes ne valent rien… (Oui je suis un peu énervé ^^)

1 « J'aime »

C’est vrai que c’est vraiment étonnant que cette affaire ne fasse pas plus de bruit, surtout depuis le temps que ça dure …

Et c’est vraiment choquant d’apprendre qu’Amazon n’aurait toujours pas trouvé de solution concernant cette faille… Même si les auteurs ont l’air de prendre pas mal de précautions pour se faire remarquer le moins possible, je pense quand même qu’Amazon est au courant de la situation et qu’ils ont quand même les moyens de trouver d’où ça vient, c’est vraiment dingue cette histoire !

Ou alors… Ou alors c’est Jeff en personne qui est caché derrière tout ça, peut-être qu’il est un peu en galère pour payer ses fusées du coup il a monté cette arnaque :rofl: :joy:

1 « J'aime »