Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 24 reacties

Amazon heeft aangegeven niet langer accountgegevens te zullen veranderen van gebruikers die hier telefonisch om vragen. De nieuwe policy volgt na een social-engineeringaanval, waarbij accounts van een journalist werden gekraakt.

Wired ontdekte dat Amazon per direct zijn privacyvoorwaarden heeft aangepast, waardoor het niet langer mogelijk is om per telefoon aanpassingen te doen aan een gebruikersaccount. Dat betekent dat gebruikers niet langer kunnen bellen om bijvoorbeeld een e-mailadres te wijzigen of om een creditcard toe te voegen aan de betaalgegevens. Amazon heeft de veranderingen in de privacyvoorwaarden niet zelf aangekondigd, maar liet wel aan Wired weten dat de nieuwe voorwaarden dinsdagochtend van kracht zijn geworden.

Hoewel Amazon zelf geen duidelijke verklaring gaf omtrent de wijzigingen, is het aannemelijk dat het iets te maken heeft met de social-engineering-hack die deze week in het nieuws kwam. Daarbij bleek dat een 'hacker', die verscheidene accounts van Wired-journalist Mat Honan kraakte, de telefonische klantenservice van Amazon gebruikte om aan voldoende gegevens te komen voor de aanval. Daarna kreeg de aanvaller toegang tot het iCloud-account van Honan, waarna hij op afstand de data van Honans iPhone, iPad en Macbook Air verwijderde.

Om toegang te krijgen tot het Amazon-account belde hij met de klantenservice om zogenaamd een creditcard aan zijn account toe te voegen. Daarna belde hij opnieuw, met de mededeling dat hij zijn inloggegevens was vergeten. Om toegang tot het account van Honan te krijgen moest hij onder andere de laatste vier cijfers van een aan het account gekoppelde creditcard aan de helpdesk geven, waardoor de hacker dus de cijfers van de door hemzelf toegevoegde betaalkaart kon overhandigen.

Vervolgens kreeg hij van de klantenservice toegang tot het account, waarbij hij onder andere de laatste vier cijfers van Honans 'echte' creditcard kon zien. Deze gegevens werden vervolgens gebruikt om de telefonische klantenservice van Apple om de tuin te leiden, om zo toegang te krijgen tot het iCloud-account.

Naast toegang tot het iCloud- en Amazon-account kreeg de aanvaller ook toegang tot het Gmail-account van Honan, net als zijn Twitter-account. De hack riep vragen op over de manier waarop bedrijven gebruikers toegang geven tot accounts als ze bellen met de helpdesk, iets waar Amazon nu dus op heeft gereageerd door het telefonisch aanpassen van accountgegevens onmogelijk te maken. Apple lijkt nog geen wijzigingen te hebben doorgevoerd.

Moderatie-faq Wijzig weergave

Reacties (24)

Ik vind het alleen maar goed dat ze hierop reageren, sommige doen alsof een neus bloed en zeggeniets vaags als "we onderzoeken het nog". Via de telefoon je gegevens veranderen is ook iets wat ik nog niet bij een ander bedrijf heb gehoord, dat gaat toch meestal via mail of als je zelf ingelogd bent ?

De verificatie bij deze methode was wel erg mager...

[Reactie gewijzigd door bonus op 8 augustus 2012 07:48]

ik vind het zo opmerkelijk dat deze bedrijven die miljarden waard zijn, dit soort lekken op de voorhand al niet hadden ondervangen. Hoeveel moeite kost het om dit te ondervangen door een onderzoeksbureau?
Hoeveel moeite kost het om dit te ondervangen door een onderzoeksbureau?
ook onderzoeksbureaus kunnen onmogelijk alle scenarios bedenken. Van het slachtoffer in kwestie was - omdat hij journalist is - zoveel bekend dat ze met publiek toegankelijke data zijn gegevens bij Amazon konden manipuleren, waarna ze toegang kregen tot nog meer privedata en aan de hand van die data (laatste 4 cijfers creditcard) toegang konden krijgen tot zijn iCloud account via Apple Support.

Overigens staat ook bij Apple de telefonische password reset op slot naar aanleiding hiervan. Ze zijn bij beide partijen zich natuurlijk het leplazerus geschrokken.
Het emailadres en het post adres van het slachtoffer waren de enige informatie die nodig was volgens het originele Wired artikel. Het post adres is gewoon achterhaald door een whois search op zijn domeinnaam. En als iemand geen eigen domeinnaam heeft dan probeer je ouderwets de telefoongids.

Het feit dat dit slachtoffer journalist is heeft dus niks uitgemaakt, behalve dat het nu onder de aandacht komt natuurlijk.
Volgens Apple is er bij hen niet de juiste flow gevolgd. Bij Apple spreekt men dus van een menselijke fout. Ik denk dat ze er bij Apple dus zwaar over gaan nadenken om hun callcenters te laten bemannen door Siri :+

Er zijn genoeg gevallen bekend van mensen die zich overal een weg door lullen. Zelfs al moest Apple zijn callcenters bemannen door FBI agenten dan nog zouden er steeds slimmeriken zijn die ergens wel een loop vinden waar ze mensen mee om de tuin kunnen leiden.
Hoeveel moeite kost het om dit te ondervangen door een onderzoeksbureau?
Exponentieel meer voor elke externe dienst die je mee wilt nemen in je onderzoek. En daarbij kunnen die diensten op elk moment hun flows of interface wijzigen waardoor jouw onderzoek ineens niet meer strookt met de werkelijkheid. Wil je dat ook nog up-to-date houden, dan moet je onderhand een heel team full-time aan het werk zetten die dan ook nog eens het recht moeten krijgen om per direct projecten of flows binnen het bedrijf stil te zetten, te wijzigen of juist open te zetten, zonder dat ze daarbij frictie vanuit de ontwikkelteams krijgen. Want wachten is open staan voor aanvallen! In de praktijk is dit vrijwel niet te doen omdat je op die manier geen bedrijf kunt runnen (teveel afhankelijkheden van externe partijen, vaak ook nog eens concurrenten).
Daarom is er maar één oplossing: standaardiseren van dit soort processen binnen bedirjven; daar heeft immers iedereen baat bij, mits ze ook aanpassingen en toevoegingen aan de spec mogen voorstellen.
ik vind het zo opmerkelijk dat deze bedrijven die miljarden waard zijn, dit soort lekken op de voorhand al niet hadden ondervangen. Hoeveel moeite kost het om dit te ondervangen door een onderzoeksbureau?
Waarom vallen er nog vliegtuigen uit de lucht? Zo duur vliegtuig van miljarden bedrijf en zulke goed opgeleiden ingenieurs en zoveel testen, en testvluchten, en berg controlelijsten en veiligheidsmaatregelen. :D

Overal worden fouten gemaakt en dingen over het hoofd gezien, oude spreekwoord geldt nog steeds, waar gewerkt word worden fouten gemaakt! Gebeurd de grootste op aarde maar ook de kleintjes, iets wat ej dus kan verwachten en erbij hoort.

Fouten maken is niet erg, bij het oplossen van problemen onderscheid je pas als goed bedrijf of als flut bedrijf. Geldt overigens voor alle fouten niet alleen beveiligingsfouten.
Alsof via de mail je identiteit goed kan worden gecontroleerd.
Is extra autorisatie voor nodig. Bij mijn email zelfs twee, eentje met paswoord en code die naar mijn telefoon word verzonden. Hacker moet dan ook mijn mail zien te kraken, deze hack was dan niet mogelijk geweest. ;)
Check de boeken van Kevin Mitnick (http://en.wikipedia.org/wiki/Kevin_Mitnick) hierover maar eens. De methodes die hij gebruikte zijn soms echt kinderlijk eenvoudig.

Hier in NL wordt trouwens ter verificatie ook vaak alleen om een postcode en huisnummer gevraagd. Let maar eens op als je weer een helpdesk aan de telefoon hebt.
Wij checkten altijd het bellende telefoonnummer tegen de klantendatabase. Als de beller vanaf dat nummer kwam wilden we het wachtwoord resetten en afgeven.

Wat de persoon in kwestie onderweg (mobiel) en/of niet thuis of op die locatie, dan maakten we daar een afspraak voor.
Wij checkten altijd het bellende telefoonnummer tegen de klantendatabase. Als de beller vanaf dat nummer kwam wilden we het wachtwoord resetten en afgeven.

Wat de persoon in kwestie onderweg (mobiel) en/of niet thuis of op die locatie, dan maakten we daar een afspraak voor.
Een achterhaalde methode, nu veel meer mensen geen vaste lijn meer hebben.
Dan staat dat mobiele nummer in de klantendatabase en kan het wachtwoord dus afgegeven worden... :Y)
Cool. Telefoon kwijt betekent dus ook nog dat je je toegang tot je accounts kwijt ben. :X
SIP.... spoof nr...; bel je met eender welk als caller id
Het gaat altijd om de afweging tussen beveiliging en gebruiksgemak. Je kunt iets compleet waterdicht maken, door bijvoorbeeld te eisen dat iemand fysiek naar je hoofdkantoor komt met een identiteitsbewijs, waarbij je ook even een vingerafdruk en irisscan afneemt. De vraag is of dat niveau van beveiliging nodig is. De gemiddelde consument zal geen telefoonnummer kunnen spoofen, waarmee je al een mooie horde opwerpt. Geen onmogelijke horde, maar in combinatie met andere maatregelen kan het een voldoende beveiliging bieden.
En toen kwam er een inbreker die opbelde en dan! ;) Das dus ook niet water dicht (of telefoon spoofen idd)
Je hoeft geen geweldig script of trojan te schrijven om gegevens te krijgen. Het stellen van de juiste vragen is al genoeg. En mede dankzij alles Facebooks en Linkedins is informatie voor social engeneering steeds makkelijker verkrijgbaar.

Maar wel slimme methode, creditcard toevoegen om vervolgens in een volgende ronde die kaart te gebruiken voor authentificatie.
En dat is dus wat er mis ging. Die kaart had niet (of in ieder geval niet zonder geldige authenticatie) mogen worden toegevoegd.
Alleen checken met een bekend telefoonnummer is ook niet veilig, want als de telefoon gestolen is, heeft de dief alsnog de mogelijkheid om het account over te nemen.
Alleen checken met een bekend telefoonnummer is ook niet veilig, want als de telefoon gestolen is, heeft de dief alsnog de mogelijkheid om het account over te nemen.
En hoe precies steel je iemands landline? Ja, je kan de lijn aftappen, maar dan ben je al aardig crimineel bezig...dan werkt online authenticatie ook niet, immers men kan ook je dataverkeer aftappen en modifien.
Social engineering, al meer dan 30 jaar een van de favoriete tools van een hacker om gratis pizza, en toegang tot systemen te krijgen.
Voordeel voor Amazon is dat ze nu minder mdw nodig hebben op het callcenter, goed voor de winstcijfers.
In mijn ogen is hier geen sprake van een hack, maar is het een pro-actieve, arbeidsintensieve vorm van Phishing. Voor zover ik kan bekijken is er niets gehackt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True