سرویس‌دهی نامناسب آمازون به مشتریان

به عنوان یک کاربر امنیتی که از بهترین شیوه‌های امنیتی آگاه است و از مواردی همچون گذرواژه‌های منحصر‌به‌فرد و رمزهای عبور دو مرحله‌ای استفاده می‌کند و قادر به گریز از حملات فیشینگ است، آیا باید تصور کنیم که حساب کاربری ما با جزییات آن کاملاً در امنیت است؟ این تصور اشتباه است.
زیرا وقتی کسی پشت سر ما حرکت کند همه‌ی این‌ها بی‌فایده خواهد بود. به این دلیل که که بسیاری از سامانه‌ها با پشتیبانی از در پشتی مشتری عرضه می‌شوند. در این مطلب ما قصد داریم بر تأسف‌بارترین متخلّف تمرکز کنم: Amazon.com!
Amazon.com یکی از چند شرکتی بود که ما به آن‌ها در مورد اطلاعات شخصی خود اعتماد می‌کردیم. ما از آنجا خرید می‌کردیم، عادت کرده بودیم که به عنوان توسعه‌دهنده‌ی نرم‌افزار کار کنیم و یک کاربر مشتاق سرویس AWS هستیم.
اما همه‌ی مشکلات با یک رایانامه‌ی به ظاهر بی ضرر از بخش پشتیبانی آمازون شروع شد، که در آن نوشته شده بود: از تماس شما با خود متشکریم.
۳۳-InContent1

ما در ابتدا تصور کردیم که ممکن است اشتباهی رخ داده باشد و یا یک رایانامه‌ی به تعویق افتاده از زمانی که ما با آن‌ها کار می‌کردیم ارسال شده باشد. اما کنجکاوی ما تحریک شد و ما با آمازون تماس گرفتیم تا بفهمیم که منظور آن‌ها چیست؟ آن‌ها به ما گفتند که آیا «ما» تماسی با بخش پشتیبانی از آمازون نداشته‌ایم؟ این دیگر چه می‌توانست باشد؟ این یک متن از یک گفت‌وگوی اینترنتی بود، و آن‌ها به ما رونوشتی از آن را ارسال کرده بودند:
۳۳-InContent2

اجازه بدهید ما در اینجا توقف کنیم، ما باید اشاره کنیم که این نشانی از ما نیست. این تنها یک آدرس جعلی از یک هتل است که دارای همان کد پستی از محل زندگی ما است. ما از آن برای ثبت نام در برخی از دامنه‌ها استفاده کرده‌ایم، برای این‌که می‌دانستیم که برخی از این اطلاعات اغلب عمومی می‌شوند. ما از آدرس همان منطقه‌ی خودمان که در آن زندگی می‌کنیم استفاده کردیم، بنابراین نشانی آی‌پی ما باید با آن هماهنگ باشد.
بیایید ادامه بدهیم:
۳۳-InContent3

چقدر تأسف‌بار؛ مهاجم جزییات جعلی ما را به پرس‌وجوی دامنه‌ی آمازون داده و در عوض آدرس واقعی و شماره‌ی تلفن ما را دریافت کرده بود. اکنون آن‌ها به اندازه‌ی کافی در مورد خدمات خود گزافه‌گویی کرده‌اند، حتی بانک ما را قانع کرده‌اند تا به آن‌ها یک رونوشت از کارت اعتباری ما را بدهد.
ما هم با خرده‌فروشی آمازون و هم با خدمات AWS تماس گرفتیم و با ابراز ناامیدی از آن‌ها خواستیم تا توجه کنند که حساب ما در معرض خطر بسیار بالایی از مهندسی اجتماعی قرار دارد و ما همیشه قادر به ورود هستیم. خرده‌فروشی آمازون گفت که به این موضوع توجه خواهد کرد و یک متخصص با ما تماس خواهد گرفت (کاری که هرگز صورت نگرفت) و این در حالی بود که سرویس AWS حتی به این خطر موجود کوچک‌ترین اعتنایی نکرد.
چند ماه بعد، ما به اشتباه تصور کردیم که خطر از بین رفته است، و به آمازون کارت اعتباری تازه‌ی خود و جزییات آدرس جدید خود را ارائه کردیم. تا این‌که رایانامه‌ی جدیدی دریافت کردیم و وحشت‌زده شدیم.
۳۳-InContent4

پس یک بار دیگر با پشتیبانی آمازون تماس گرفتیم تا ببینم که چه اتفاقی افتاده است. این بار ما توانستیم با یکی از عوامل پشتیبانی صحبت کنیم که به نظر می‌رسید صد در صد نمی‌تواند درک کند که کسی به جعل هویت ما پرداخته است. وقتی که او به ما گفت ما باید گذرواژه‌ی شما را تغییر بدهیم تا از جعل هویت شما جلوگیری کنیم، ما به سختی توانستیم خونسردی خود را حفظ کنیم. در نهایت ما باید به او می‌گفتیم که این «ما» بودیم که با پشتیبانی تماس گرفته‌ایم و ما می‌خواهیم که رونوشت «خود» را که ارائه کرده‌ایم داشته باشیم.
۳۳-InContent5
استفاده از آخرین آدرسی که به آمازون داده شده بود
۳۳-InContent6

و سپس به طرز ناموفقی سعی شد تا آخرین ارقام کارت اعتباری ما گرفته شود:
۳۳-InContent7

حدس بزنید که ما باید چقدر ممنون باشیم که آن‌ها آخرین ارقام کارت اعتباری ما را ندادند. ما دوباره با آمازون تماس گرفتم تا تکرار کنیم که چقدر مهم است که آن‌ها حساب کاربری ما را امن نگه دارند و جزییات آن را به هیچ‌کسی با این نام و آدرس ندهند. آن‌ها قول دادند که به حساب ما توجه خواهند کرد و این اتفاق هرگز دوباره رخ نخواهد داد. آن‌ها اعلام کردند که یک کارشناس با ما تماس خواهد گرفت. (مثل دفعه قبل هرگز اتفاق نیفتاد)
این بار ما تصمیم گرفتیم که دیگر به آمازون برای دادن نشانی خود اعتماد نکنیم و آن را از حساب خود حذف کردیم.

یک بار دیگر با سرعت جلو می‌رویم:
۳۳-InContent8

در این هنگام، دیگر نمی‌توانستیم رونوشتی را از آمازون دریافت کنیم. آن‌ها از طریق تلفن آمازون تماس گرفته بودند، و در نتیجه چیزی را برای ارائه به ما نداشتند. ما باید فرض می‌کردیم که آن‌ها آخرین ارقام از کارت اعتباری ما را، آنچنان‌که به نظر می‌رسید داده‌اند.
در این لحظه، آمازون کاملاً سه بار به اعتماد ما خیانت کرده است. ما کاملاً هر کاری که از دستمان برمی‌آمد برای تأمین امنیت حساب خود انجام داده‌ایم اما تمام آن‌ها ناامیدکننده بودند. ما در حال بستن حساب کاربری آمازون خود هستیم و قصد داریم به سرویس‌های گوگل مهاجرت کنیم که به نظر می‌رسد در برابر متوقف کردن این حملات بسیار قوی‌تر عمل می‌کنند.
بعد از این‌که ما ماه‌ها قربانی این حملات بوده‌ایم می‌خواهیم برخی از توصیه‌ها را برای این گونه خدمات داشته باشیم:

– هرگز به مشتری مشخصات پشتیبانی ارائه نکنید مگر این‌که کاربر توانسته باشد به حساب کاربری خود وارد شود. تنها استثناء در این زمینه این است که کاربر گذرواژه‌ی خود را فراموش کرده باشد و این سیاستی بسیار سخت‌گیرانه است. مشکل این است که ۹۹۹۹ بار از هر ۱۰۰۰۰ بار این درخواست پشتیبانی‌ها مجاز هستند و عوامل عادت کرده‌اند که تصور کنند همه‌ی آن‌ها مجاز هستند. اما در یک مورد این‌گونه نبوده است، در این حالت شما کاملاً نسبت به آن شخص بی‌رحم بوده‌اید.
– به عوامل پشتیبانی خود آدرس‌های آی‌پی شخص تماس‌گیرنده را نشان بدهید. آیا این آدرس معمولی است؟ آیا از VPN / TOR نیست؟ و … به آن‌ها هشداری مبنی بر مشکوک بودن بدهید.
– خدمات رایانامه باید به ما اجازه دهد تا به راحتی نام‌های مستعار زیادی را ایجاد کنم. در حال حاضر به نظر می‌رسد بهترین دفاع در برابر مهندسی اجتماعی، حساب کاربری ما در fastmail است که اجازه می‌دهد تا در برابر هر سرویس یک رایانامه‌ی مستعار ایجاد کنیم. این کار باعث می‌شود تا کار برای مهاجم بی‌نهایت مشکل شود، زیرا آن‌ها حتی نمی‌توانند متوجه شوند که این آدرس رایانامه‌ی شماست.
– لطفاً حفاظت دامنه را به طور پیش‌فرض قرار دهید. مورد ما به بیرون درز کرد زیرا که دامنه‌ی مسخره‌ای که ما کاری در برابر آن نمی‌توانستیم انجام دهیم حفاظتش منقضی شده بود.
باید مراقب باشید که اطلاعاتی را که به اشتراک می‌گذارید برای کاربران بسیار با اهمیت است.
حتی شرکت‌های بزرگی مانند آمازون نیز نمی‌توانند آن‌ها را اما نگه دارند، آن‌ها از بد هم بدتر هستند.