アマゾンは、Wiredのライターのハッキングにつながったセキュリティ上の欠陥を修正したと発表した。
トッド・ビショップ著
Amazon.comは今朝、ハッカーがWiredの記者のオンラインアカウントやAppleデバイスにアクセスし、大混乱を引き起こすのを助長した顧客サービス手順のセキュリティ問題に対処するための措置を講じたことを確認した。
「報告された脆弱性について調査した結果、月曜日の午後時点で脆弱性が解消されたことを確認できます」と、Amazonの広報担当者は今朝、この状況に関する当社の問い合わせにメールで回答した。
このニュースを初めて知ったという方のために、ホナン氏がWired.comの記事で何が起きたのかを解説しています。正体不明のハッカーたちは、彼の個人情報を断片的に入手し、昔ながらのソーシャルエンジニアリングを駆使することで、彼のGoogle、Twitter、そしてApple IDのアカウントにアクセスすることに成功しました。
ハッカーの一人と接触していたホナン氏は、アマゾンのやり方がどのようにして彼のアカウントへの扉を開くのに役立ったかを説明する。
まずAmazonに電話し、自分がアカウント所有者であること、そしてアカウントにクレジットカード番号を追加したいことを伝えます。必要なのは、アカウント名、関連付けられているメールアドレス、そして請求先住所だけです。するとAmazonは、新しいクレジットカード情報を入力できるようにします。(Wiredは、業界が公開している自己チェックアルゴリズムに準拠した偽のカード番号を生成するウェブサイトから、偽のクレジットカード番号を使用しました。)そして電話を切ります。
次にAmazonに電話をかけ直し、アカウントにアクセスできなくなったことを伝えます。氏名、請求先住所、そして前回の電話で伝えた新しいクレジットカード番号を伝えると、Amazonはアカウントに新しいメールアドレスを追加できるようにします。そこからAmazonのウェブサイトにアクセスし、新しいメールアドレスにパスワードリセットを送信します。これにより、アカウントに登録されているすべてのクレジットカード情報を確認できます。ただし、番号全体ではなく、下4桁の情報だけです。しかし、ご存知の通り、Appleが必要とするのは下4桁だけです。
アマゾンが抜け穴を塞いだと発表した今、この戦略はもはや機能しないはずだ。
この事態は、二要素認証の使用やコンピューターやデバイス上の重要なコンテンツのバックアップの重要性など、私たち全員に一連の教訓を与えています。
