比特网ChinaByte 12月27日编译报道 美国最大的在线零售商亚马逊在安全方面中还存在很大的漏洞。
上周,Web开发公司Synapse Studios的管理合作伙伴Chris Cardinal发现了一个漏洞,这显然对亚马逊的伤害比对其用户的伤害要大。
截止到周一,亚马逊媒体关系部门并未对此发出回应。
在HTMList报道此事的Cardinal表示,他最近的经历证明,亚马逊需要提升其安全性。“显然,亚马逊并没有从实质上改进其身份验证协议。”
Cardinal写道,这一次,问题与客户服务相关。他表示,骗子使用了他的姓名、地址和订单记录,骗得亚马逊发送“换货”产品到一个新的地址,尽管Cardinal已经收到过那些产品。
Cardinal称,他在12月中旬的一个早晨开始收到从亚马逊客服部门发来的邮件,邮件内容与他已经收到的相机和滤光器的订单有关。
几个小时内,客服给他发出邮件对此问题致歉,说,换货订单已经生成。
邮件中说,订单发给了他,但是发到俄勒冈州的波特兰了。而实际上,Cardinal说,他的地址并不是波特兰,他所订的相机也已经拿到手,绝不需要换货。
当他试图取消换货订单并告诉亚马逊客服出现了诈骗时,所有客服都没办法查出聊天记录或诈骗行为的证据。
经过进一步侦查,Cardinal说,他发现了一个社会工程学论坛,这个论坛用户可提供亚马逊上的购物订单号。“因为一旦你有了订单号,所有其他事显然就容易了。”
他说,尽管亚马逊从根本上说很安全,但客服团队在面对几个简单数据点时就遭到了多米诺骨牌效应。
Cardinal发现,“神秘的波特兰地址”由一家名为ReShip.com的公司拥有,该公司能让你拥有接收或向海外发送包裹的“虚拟”邮件地址。显然,相机已经发送到美国之外去了。
客服告诉Cardinal,你需要提供姓名、emai地址和账单地址,他们就能让你做你想做的事。但他们不能添加付款方式或更换新订单或回顾现有的付款方式,但它们能回溯订单号码和退换货需求。这就使得,免费收到第二次相机变得简单。
WhiteHat安全威胁研究经理Matt Johansen表示,虽然他没有看到用这种方法进行的诈骗,但他用的是老的安全技术。而这种社会工程学诈骗方法已经在其他在线零售商用了很长一段时间。
一些评论家认为,Cardinal的经历表明,重复收货会让顾客开心,这比亚马逊受到一点诈骗更重要,而亚马逊所付出的也不过就是巨大的利润海洋中的一小滴而已。一位名为"Brian M."的评论者预计亚马逊不会对此采取什么措施。Johansen也同意这种说法。
而Cardinal则认为,亚马逊应该有更严格的安全措施来加大诈骗难度。而Johansen却认为,由于额外的认证步骤会让客户感到麻烦,这会影响整个购物体验,亚马逊不会愿意这么做。