Amazon 2FA: Compromettere l'email porta a compromettere 2FA, ad esempio rimuovendo l'altro fattore?

4

Ho avuto qualche situazione interessante: il mio account Amazon ha 2FA abilitato dove il mio smartphone con google authenticator è il mio secondo fattore.

A causa di problemi con questo telefono il mio secondo fattore praticamente si è rotto (non sono più stati prodotti pin affidabili). Dato che ero su una macchina contrassegnata come attendibile, potrei acquistare ecc. Solo con la mia email + password su questa macchina.

Quando ho provato ad aggiungere un nuovo smartphone come fattore di sostituzione anche sul mio dispositivo fidato, mi è stato chiesto di inserire il secondo fattore, che non potevo. Ho quindi dovuto ricorrere all'inserimento di un numero di telefono nell'area di supporto e un rappresentante mi ha richiamato.

Ora quello che è successo ha causato un po 'di dubbio sull'utilità della mia fantasia 2FA: L'agente mi ha chiesto il mio indirizzo email che ho usato per accedere ad Amazon che gli ho detto. Quindi l'agente mi ha inviato una spilla a questo indirizzo email. Dopo aver letto questo pin all'agente, mi ha suggerito di disabilitare l'intero 2FA in modo che potessi accedere, fare le mie cose e infine abilitare nuovamente 2FA.

È un vettore di attacco plausibile? Sono consapevole che un utente malintenzionato ha bisogno della password per il mio account amazon e della password per l'account di posta per questo account amazon, che di per sé potrebbe non essere banale ma sono un po 'irritato che senza ulteriori indugi potrei rimuovere il secondo fattore dalla mia autenticazione . Non sono state richieste ulteriori informazioni come data di nascita ecc.

(Dato che il mio indirizzo email non riutilizza la password di amazon (o qualsiasi password) e utilizza esso stesso un 2FA, considero questa minaccia piuttosto bassa per la mia situazione, ma comunque mi sembra strano)

    
posta Samuel 19.10.2017 - 14:55
fonte

2 risposte

4

Is this a plausible attack vector?

Un sacco di siti di consumatori basano misure di sicurezza su una catena di fiducia. Si fidano di te per assicurarti che il tuo metodo di contatto primario sia adeguatamente protetto. Hanno bisogno di un contatto primario che nella maggior parte dei casi è il tuo indirizzo email. Tutte le reimpostazioni della password, la gestione dell'account, le notifiche ecc. Lo attraversano.

Considerate le dimensioni di Amazon e la percentuale di persone abbastanza esperte da configurare e gestire l'autenticazione multi fattore avanzata, immagino che sia una decisione aziendale mantenere i propri 2FA il più semplice possibile. Dopotutto non è un loro problema se il tuo account di posta elettronica è stato compromesso, il che sarebbe un passaggio obbligato per disabilitare i loro 2FA.

Per essere completamente sicuro, adotterei misure aggiuntive per garantire il passaggio finale della catena di fiducia, ovvero il tuo account di posta elettronica. Google ha appena lanciato una funzionalità molto interessante che crea un sistema di autenticazione a più fattori che richiede il reset di controlli estesi. Potresti non utilizzare un account Google ma è un buon esempio di come farlo.

Scopri di più qui: link

    
risposta data 19.10.2017 - 15:17
fonte
0

Manca un fattore: il tuo telefono.

Sebbene il generatore di codici 2FA sul tuo telefono non funzionasse più, avevi ancora il controllo del tuo telefono. Questo è stato verificato quando Amazon ti ha chiamato, invece di chiamarli.

Per ricevere la chiamata da Amazon, un avversario dovrebbe avere accesso fisico al dispositivo o intercettare in qualche modo la chiamata. Se un avversario ha accesso fisico al tuo dispositivo, saresti comunque disossato. Senza l'accesso all'infrastruttura telefonica / cellulare, l'unico modo in cui qualcuno potrebbe intercettare la chiamata di cui sono a conoscenza è se hanno la SIM Card corretta. Ciò richiede il furto del tuo, che richiederebbe anche mani sul tuo dispositivo e verrebbe notato piuttosto rapidamente una volta che tenti di accedere a Internet o di hackerare il tuo (vedi questo su una vulnerabilità del 2013 ).

Ho anche sentito parlare dell'ingegneria sociale utilizzata sui provider di telefoni cellulari per ottenere una carta SIM sostitutiva. Qualche tempo fa un famoso canale YouTube ha affermato che questo è successo a loro. Non ricordo chi e io non riesco a trovare il video, quindi potrei non essere corretto su questo punto.

Quindi, mentre si tratta di un vettore di attacco, non è molto più di quanto qualcuno abbia già messo le mani sul telefono.

    
risposta data 19.11.2017 - 05:13
fonte

Leggi altre domande sui tag