Klanten van Amazon krijgen mails met orderbevestigingen van andere klanten

Stuurt Amazon het wachtwoord van het e-mail adres gekoppeld aan de oorspronkelijke account eigenaar van de bestelling mee met de bestelbevestiging? Want dat is het mail adres waar een reset link naar toe gaat, als je ze al zo ver krijgt om die te versturen.

[Reactie gewijzigd door homme2204 op 17 augustus 2019 18:27]

Ninja edit: deze reactie is puur informatief, want de link waar je je op baseerd en de daarin vergaarde informatie door de hacker gaat de berichtgeving van een orderbevestiging ver te boven.
Ten eerste staat het mail adres van degene die de bestelling geplaatst heeft niet in een orderbevestiging. Ten tweede staat het wachtwoord van dat mail adres niet in een order bevestiging. Ten derde staat het wachtwoord van het Amazon account niet in een orderbevestiging. De hacker uit jouw link beschikte al over al deze info vóór hij met Amazon contact opnam (als de hacker uberhaupt met amazon contact heeft opgenomen). En natuurlijk staan de laatste 4 cijfers van een kaart in het account van de klant vermeld indien de klant ingelogd is, hoe moet een klant anders al zijn kaarten uit elkaar houden? Amerikanen kunnen makkelijk 10+ CC's tegelijk hebben.

Dus nogmaals, al je reacties m.b.t. dit artikel zijn zo krom en off-topic als een banaan.

Dan nu inhoudelijk: De link in jouw reactie is toch wel zo'n kul verhaal.

A: die simpele ziel (zo mag je hem oprecht toch wel noemen) heeft AL zijn accounts in EEN ecosysteem ALLEMAAL gelinkt en op GEEN ENKELE ERVAN 2-factor authenticatie of wat voor extra vorm van beveiliging ingericht.

En dan vindt ie ook nog dat er fundamenteel iets moet veranderen in beveiligingsland. Nou goedemorgen, ik heb nieuws voor je: dat bestaat en dat heet 2 of 3 factor authentication. En je hebt zelfs vaak ruime keuze in hoe je dat wilt doen. SMS code, app, alternatief mail adres, alle 3 deze methoden, een combi van deze methoden en nog een paar methoden die ik niet eens benoemd heb. Dat hij daar geen gebruik van maakt is z'n eigen (domme) keuze, en dan kan dit dus gebeuren. Opnieuw, eigen verantwoordelijkheid. De middelen zijn er, de diensten waar je gebruik van maakt adviseren je om de haverklap om er gebruik van te maken, je hoeft het alleen nog maar even te doen. Doet ie niet. En dan huillie huillie doen en de schuld proberen te verleggen om er mee proberen te leven...

Dan is het inderdaad heel eenvoudig: verkrijg toegang tot het 'master' account, en je hebt de beschikking over alle gekoppelde accounts en alle daarin opgeslagen informatie.

Dat is zoiets als Amazon beschuldigen dat iemand mijn wachtwoord van Amazon heeft achterhaald doordat deze mijn Gmail heeft gehackt en hierdoor mijn Google Wachtwoordformulier kon raadplegen en ik zo slim ben geweest om Google toestemming te geven mijn Amazon wachtwoord op te slaan, waardoor de hacker alleen maar dit form hoefde te openen om mijn Amazon account te breachen.. volg jij deze logica? Nee? Ik ook niet.

110% eigen verantwoordelijkheid van deze meneer en 1 minuut aan inspanning / ter attentie van beveiliging had al zijn leed voorkomen.

Bovendien is in dat voorbeeld niemand van Amazon zijn boekje te buiten gegaan. Apple medewerkers hebben de hacker toegang verschaft tot een account zonder dat deze beveiligingsvragen kon beantwoorden.


Terugkomend op je vraag:
Wanneer Account B binnenkomt met de melding dat hij de log in van account A kwijt is, en door de standaardverificatie heen komt, krijgt account A een wachtwoord reset mail. Account B krijgt een mail dat de eigenaar van account A een mail is gestuurd. Account A krijgt een mail dat iemand over het account contact heeft opgenomen en indien die persoon zich hier niet in herkent, contact op te nemen. En de wachtwoord reset link gaat ook naar mail adres van account A.

Een Amazon account kan dus maar op 2 manieren 'gehackt' worden: brute force / pure luck met password guessing. Andere optie: hacker moet al toegang hebben tot het bijbehorende e-mail account waarmee hacker toegang krijgt tot password reset bericht. En beveiliging van je eigen mail adres is opnieuw volledig je eigen verantwoordelijkheid, tenzij je mail provider je wachtwoord heeft gelekt.

Heb je inderdaad geen toegang tot bijbehorend mail account (meer) of ben je vergeten welk mail adres je had gebruikt bij het registreren van een account (zoals bij mij het geval was), krijg je 2 keuzes voorgeschoteld: nieuw account maken, of bewijzen dat je bent wie je zegt dat je bent door een hele boel officiële documenten te faxen of per post op te sturen naar een speciale afdeling.

Persoonlijk heb ik maar een nieuw account aangemaakt, was een stuk eenvoudiger. Had er nog niet zo veel besteld. Bovendien schoot ik er niets mee op om mijn identiteit te bewijzen omdat men dan nog niet mocht mededelen welk e-mail adres ik gebruikt had.

Dus nee, met een telefoonboek bij de hand hack je niet zo maar even iedereen zijn amazon account en bijbehorende prime lidmaatschappen, twitch logins, amazon wallet enzovoorts. En naast hooguit een bestelnummer, staat er niets extra's in een orderbevestiging dan in een telefoonboek.

[Reactie gewijzigd door homme2204 op 18 augustus 2019 16:00]