_Amazon

A Amazon tem outra enorme falha de segurança

Você talvez se lembre que a Amazon foi acusada de ter sido o elo fraco na invasão da conta no iCloud de Mat Honan, quando o invasor teve acesso completo à sua identidade online porque a Amazon entregou o identificador secundário necessário para resetar a senha na Apple. (No caso, os quatro últimos dígitos do […]

Caixa detonada da Amazon.

Você talvez se lembre que a Amazon foi acusada de ter sido o elo fraco na invasão da conta no iCloud de Mat Honan, quando o invasor teve acesso completo à sua identidade online porque a Amazon entregou o identificador secundário necessário para resetar a senha na Apple. (No caso, os quatro últimos dígitos do cartão de crédito.) É triste dizer isso, mas está bem claro que a Amazon não melhorou seus protocolos de autenticação de nenhuma forma significativa e que, desta vez, a falha a afeta diretamente.

Alguém esquematizou uma forma relativamente simples de burlar a Amazon.com, uma que exige poucas informações difíceis de se obter para entregarem o ouro. Enquanto essa história se desenrola, escrevo isso na esperança de que a Amazon tome ciência do problema e, espero, ajude-os a aumentar a segurança do call center e do bate-papo de suporte.

Ao acordar hoje descobri quatro emails da Amazon disparados em intervalos próximos se desculpando pelo término abrupto de sessões de suporte via bate-papo. Eram todos um pouco diferentes, mas eles tinham algo como “não consegui colher informações suficientes para tomar uma ação.” A princípio pensei tratar-se de uma bizarra tentativa de phishing, mas os emails pós-bate-papo tinham o visual e formato reais da Amazon e traziam links válidos para as pesquisas de satisfação pós-chat da empresa. Reparei que os emails haviam sido enviados a mim com um ponto separando meu nome e sobrenome: o Gmail é “cego” para pontos. Você pode, de verdade, mandar um email para h.t.mlist@gmail e ele chegará à conta htmlist@gmail.com sem problemas. Mas a Amazon NÃO é “cega”. html.ist@gmail é uma conta diferente na Amazon de htmlist@gmail.com, ainda que a conta de email seja a mesma. (Como muito serviços de email não ignoram pontos nos endereços, na verdade essa é a prática comum.)

Isso em especial chamou a minha atenção, já que eu nunca uso o meu email com ponto. Mais acerca disso em breve.

Por fim, o último email indicava que “verifiquei sua conta e vi que não existe nenhum pedido nela. Entretanto, se você puder informar os números dos pedidos, poderemos dar sequência a partir daqui.” Alguém está farejando números de pedidos. Algo bem ruim está acontecendo.

Duas horas depois, recebi outro email pós-chat do Serviço de Atendimento da Amazon. Este:

Pedimos desculpas pelo problema que você teve com seus pedidos. Criei um pedido de troca* para você sem custos adicionais. Aqui estão os detalhes:

Número do pedido: 103-4XXXXXX-XXXXXXX
Prazo de entrega: Entrega de um dia
Data de entrega garantida: terça-feira, 18 de dezembro de 2012.

Requisitei um reembolso de US$ 42,99 ao seu cartão pelo Filtro UV B+W de 67mm com revestimento multi-resistente (010M).

Você verá o reembolso em seu cartão nos próximos 2-3 dias úteis.

[NT: “order replacement” traduzido ao pé da letra seria “ordem de troca”, como consta acima e em todas as referências abaixo. Apesar de parecer, não é exatamente uma troca. Essa ação é tomada, lá, quando um produto não chega ao cliente. O “pedido de troca” é, portanto, o envio de um mesmo produto que (em tese) jamais chegou ao comprador.]

Cara… isso é um problema. Eu tinha pedido e recebi aquele filtro específico como parte da compra de uma nova câmera Canon. Estava satisfeito com a minha compra e, não tenho dúvida quanto a isso, não pedi reembolso ou substituição alguma. E o que é esse pedido de troca?

Entrei na minha conta e encontrei um pedido de troca com entrega de um dia para a câmera, e uma bolsa e um cartão de memória que vieram com ela, com o status “entrega em breve.” Segundos depois, outro email da Amazon chegou:

Pedimos desculpas pelo problema que você teve com seus pedidos. Criei um pedido de troca para você sem custos adicionais. Aqui estão os detalhes:

Número do pedido: 103-4XXXXXX-XXXXXXX
Prazo de entrega: Entrega de um dia
Data de entrega garantida: terça-feira, 18 de dezembro de 2012.

Enviar para:
Sr. Chris Cardinal
13820 NE Airport Way
K5981
Portland, Oregon 97230
Estados Unidos
Telefone principal: 647-234-1819

Hm. Já ouvi coisas muito legais sobre Oregon, mas nunca estive lá. Para falar a verdade, a minha câmera está aqui, do meu lado, neste exato momento. Definitivamente não preciso de outra. A Amazon está mandando um substituto fantasma para um Chris Cardinal fantasma em um endereço fantasma na costa oeste. A essa altura, me senti um pouco frustrado.

Liguei para a Amazon e os informei do ocorrido. Eu já tinha ligado para ver um reembolso parcial na minha câmera então ainda em trânsito e dei sorte com o atendente na ocasião. Desta vez, não tive tanta sorte. O atendente estava convicto de que minha conta havia sido comprometida, mas não pareceu se preocupar muito e me garantiu de que eu não seria responsabilizado por nada disso. Expliquei a ele que a minha conta mesmo estava intacta, que eu tinha controle total sobre ela, e que já havia alterado a minha senha só por precaução. Meu email tem o esquema de autenticação em duas etapas e não apresentou atividade incomum, então, nesse ponto, estava bem confiante de que o vetor do ataque estava totalmente confinado no fraco departamento de atendimento ao consumidor da Amazon.

Como o pedido ainda estava sendo preparado, esmaguei o botão “cancelar pedido” o mais rápido que pude e fiquei contente em ver que ele foi prontamente cancelado. O atendente não me ajudou com o pedido de troca fraudado, mas achei que descoberto o problema.

Eu estava errado. Se de primeira as coisas não dão certo…

Duas horas depois, recebi outro email, recebi um novo email de um outro atendente — todos eles, aparentemente, incapazes de verificar o histórico de conversas ou se ligarem em uma potencial sequência de atividades fraudulentas:

Aqui é Giovanni do Serviço de Atendimento da Amazon. Aquele com quem você acabou de conversar.

O pedido de troca foi bem sucedido. ID do pedido de troca: 103-7XXXXXX-XXXXXXX.
Obrigado pela sua consulta.

Resolvi seu problema?

Não, você não resolveu o meu problema. A sua vontade de enviar câmeras de US$ 900 com tanto descaso e imprudência, ainda que bem intencionada, está arruinando o meu dia. Não quero que a minha conta fique marcada por comportamento fraudulento e me cause problemas quando eu realmente precisar fazer um pedido de troca no futuro.

Liguei mais uma vez e expliquei que o que quer que estivesse acontecendo, precisava parar. O atendente prestativamente sugeriu que eu alterasse o endereço de email da minha conta. Percebi que isso impediria o fraudador de burlar o mais simples dos obstáculos para falar com os atendentes no bate-papo, então obedeci. E pedi para falar com um superior na esperança de que alguém desse atenção a esse problema.

A supervisora se desculpou bastante e pareceu muito confusa com o fato de que um pedido de troca pudesse ser disparado para qualquer endereço além do original. As duas tentativas (agora canceladas) tinham como destino Portland, bem longe de onde eu moro. Eles (os atendentes) também insistiram que a minha conta tinha sido hackeada. Expliquei que eles são o elo fraco da forma mais educada possível e perguntei se ela poderia puxar algumas transcrições de conversas feitas mais cedo.

Ela não encontrou nenhum registro, mas então a lembrei da minha conta com “pontos” (no email). Certamente aconteceram conversas mais cedo hoje, “mas eu só posso enviá-las para o endereço de email que consta na conversa.” Não brinca. Sou eu, de qualquer forma. (Depois eu também requisitei um reset da senha e loguei na conta com pontos no email. Descobri que o usuário havia alterado seu nome, mais especificamente o sobrenome. Ele não controla a conta de email, então ele não pode usar a conta da Amazon.) A anatomia de um bem sucedido ataque de engenharia social.

Aqui as coisas ficaram boas:

9:22 AM Pergunta Inicial: Oi, minha antiga conta foi hackeada, bem como o meu email. Estava pensando aqui se você poderia me ajudar a reaver os números de pedidos da minha conta por causa da garantia.

Vishnu (CSA) : Oi Chris, meu nome é Vishnu. Ficarei feliz em ajudá-lo.

Vishnu (CSA) : Antes que eu possa ver a sua conta, preciso fazer uma rápida verificação de segurança. Por favor, confirme o seu nome completo e endereço de cobrança da sua conta.

Vishnu (CSA) : Espero que você ainda esteja conectado.

Chris : Desculpe! Estava fazendo outra coisa aqui. Meu nome é Chris Cardinal, meu endereço é XXXXX.

Vishnu (CSA) : Obrigado pela informação.

Vishnu (CSA) : Neste caso, você gostaria de resetar a sua senha?

Chris : Não tenho tempo para isso agora, poderia me ajudar a recuperar os números de pedidos de 1º de novembro até agora?

Vishnu (CSA) : Claro, aguarde um minuto por favor.

Vishnu (CSA) : Os pedidos feitos no mês de novembro foram os seguintes:

Vishnu (CSA) : 104-8XXXXXX-XXXXXXX

Vishnu (CSA) : Quarta-feira, 7 de novembro

Vishnu (CSA) : 107-0XXXXXX-XXXXXXX

Vishnu (CSA) : Segunda-feira, 12 de novembro

Vishnu (CSA) : v

Vishnu (CSA) : 109-9XXXXXX-XXXXXXX

Vishnu (CSA) : v

Vishnu (CSA) : Sexta-feira, 23 de novembro

Chris : Isso é tudo?

Vishnu (CSA) : Sim, Chris. Esses pedidos foram feitos no mês de novembro.

Chris : E dezembro?

Vishnu (CSA) : Neste caso, enviarei a você um email para recuperar a senha e você reseta a senha.

Vishnu (CSA) : Por favor aguarde um minuto, Chris.

Chris : Meu email foi hackeado, prefiro que não mande.

Chris : Só preciso dos números dos pedidos agora, nada mais..

Vishnu (CSA) : Pedidos do mês de dezembro:

Vishnu (CSA) : 107-9XXXXXX-XXXXXXX

Vishnu (CSA) : Terça-feira, 11 de dezembro

Vishnu (CSA) : 107-6XXXXXX-XXXXXXX

Vishnu (CSA) : Terça-feira, 11 de dezembro

Vishnu (CSA) : 105-6XXXXXX-XXXXXXX

Vishnu (CSA) : Terça-feira, 11 de dezembro

Vishnu (CSA) : 106-8XXXXXX-XXXXXXX

Vishnu (CSA) : Quinta-feira, 13 de dezembro

Vishnu (CSA) : 106-2XXXXXX-XXXXXXX

Vishnu (CSA) : Sábado, 15 de dezembro

Vishnu (CSA) : 106-6XXXXXX-XXXXXXX

Vishnu (CSA) : Sábado, 15 de dezembro

Vishnu (CSA) :  106-2XXXXXX-XXXXXXX

Vishnu (CSA) : Domingo, 16 de dezembro

Vishnu (CSA) : Isso é tudo, Chris.

Chris saiu da conversa.

Como você reparou, eu era um cliente bem ocupado. É fim de ano e eu também estou comprando alguns acessórios para a nova câmera. Um pouco de pesquisa revelou este tópico onde usuários de um fórum de engenharia social se oferecem para comprar números de pedidos. Por quê? Porque acontece que, uma vez que você tenha esses números, todo o resto aparentemente se torna mais simples.

Se você já comprou na Amazon, não demorou para notar algo: eles exigem muito a sua senha. Para praticamente qualquer coisa. Quer alterar um endereço? Senha. Acrescentar um novo meio de pagamento? Senha. Verificar seu histórico de compras? Senha. A Amazon é, basicamente, uma propriedade na web muito segura. Mas como você pode ver da minha transcrição de bate-papo acima, a equipe de atendentes cai como dominós com apenas alguns dados simples e um pouco de assertividade.

Ótimo, outro email:

Bom dia!

De acordo com a nossa conversa alguns minutos atrás, o pedido de troca foi processado com sucesso sob o número 103-4xxxxx-xxxxxxx. Estou te passando esta confirmação, mas o pedido foi posteriormente cancelado.

Enviada de:

Enviada para:
Mr Chris Cardinal
13820 NE Airport Way
K5981
Portland, Oregon 97230
Estados Unidos
Telefone principal: 647-234-1819

Parece que ainda estamos trabalhado nesse assunto. Peço desculpas pelo inconveniente.

Este cara é persistente!

Como pode ver pela última linha, parece que agora eles pisaram no freio na emissão de novos pedidos, graças à minha insistência eles congelaram a conta e pediram por algo diferente do endereço de cobrança.

Disseram-me que o problema foi encaminhado para o departamento de prevenção a fraudes e deveria esperar uma resposta para breve. Nesse meio tempo, de onde esse cara veio e para onde o meu pedido de troca iria?

Algumas possibilidades: tuitei o meu desejo de comprar uma Canon T4i recentemente. Não mencionei a Amazon ou que eu a comprei, mas alguém que está buscando por números de pedidos já tinha um ponto de partida. Meu nome de usuário no Twitter é meu nome verdadeiro. O primeiro resultado no Google para buscas pelo meu nome verdadeiro é meu site de concursos de bolos, o Threadcakes. E até o início desta tarde, a informação de whois para o meu domínio incluía meu nome, endereço de email e endereço do meu domicílio. Meios, motivação, oportunidade e o suficiente para burlar os atendentes da Amazon e conseguir praticamente qualquer coisa que quisesse.

E o misterioso endereço em Portland? Ele é, na realidade, propriedade de uma empresa chamada ReShip.com. Ela permite que você tenha um endereço postal “virtual” para onde pode encaminhar pacotes e correspondência para fora dos EUA [como as que listamos nesta matéria]. Ficou claro que a câmera tinha o exterior como destino.

Pesquisas pelo endereço não retornaram praticamente nada. Exceto, claro, esta pérola: um post no próprio fórum da Amazon de um usuário reclamando sobre o mesmíssimo comportamento em sua conta, no dia 4 de dezembro de 2012. Melhor ainda, ele estava comprando uma câmera Canon. O post foi apagado, mas o cache do Google ainda tinha ele. Eis o que ele dizia:

Recentemente comprei dois produtos eletrônicos na semana da Black Friday, uma câmera digital Canon PowerShot S100 de 12,1 MP e um receiver AV de 7.1 canais Yamaha RX-V671. Recebi ambos prontamente.

Mas alguns dias depois de receber meu Yamaha, recebi da Amazon um email onde eles se desculpavam pelo meu receiver Yamaha não ter chegado e estavam enviando um novo naquele momento. O email era de um endereço válida Amazon, com links reais. Aquele envio era destinado a um endereço desconhecido, na Av. Cudaback, 1711, Niagara Falls, Nova York, 14303. Esse local é um armazém de distribuição e estocagem.

Quando liguei para a Amazon a respeito disso, o amigável atendente da Índia disse que outro cliente usou o meu email por engano e que resolveria o problema.

Alguns dias depois, outro email com desculpas da Amazon chegou, dizendo que eles lamentavam que a minha Canon S100 não tivesse chegado e que uma nova seria enviada. Esta tinha como destino outro armazém, na 13820 NE Airport Way K5981, Portland, Oregon 97230. Novamente, enviei um email para a Amazon, mas desta vez não tive resposta.

Os dois envios tinham meu nome como destinatário, mas com endereços para os quais nunca enviei nada. Ambos, misteriosamente, apareceram na minha lista de endereços na Amazon também, antes que eu os apagasse. Um deles tinha meu antigo número de telefone, enquanto o outro tinha outro número 7165554985 listado.

Está claro que há um golpe rolando e que provavelmente está passando despercebido. Ele não custa nada ao cliente, exceto, talvez, suspeitas se ele tiver uma reclamação por fraude legítima a fazer. Mas ele também evidencia que a Amazon tem uma grande vulnerabilidade na sua equipe de suporte aos clientes. O meu atendente disse hoje, mais cedo, que tudo o que você precisa é do nome, endereço de email e endereço de cobrança, e isso praticamente basta para fazer o que for preciso. Eles não podem acrescentar meios de pagamento ou realizar novos pedidos, ou revisar os meios de pagamento já existentes, mas podem passar números de pedidos já feitos e requisitar reembolsos e pedidos de troca.

Há um grande potencial para fraudes aqui. Primeiro, seria bem simples eu pedir e receber uma segunda câmera de graça. É o tipo de sacanagem que você só faria uma vez por ano se muito, mas ainda assim, eles a enviariam sem questionar nada. (Ela foi enviada pelo Fedex Smartpost, o que significa via USPS, então talvez a falta do código de rastreamento contribua para essa ânsia de empurrar produtos em substituição aos, em tese, não recebidos.) Por que os atendentes da Amazon concordam em despachar o novo produto para um endereço diferente do original está além da minha compreensão. Soube que a política interna diz que esses produtos só devem ser enviados ao endereço original, mas engenharia social (“estou visitando a minha família em Oregon, pode enviar para lá?”, por exemplo) contorna essa política facilmente.

O que acontece, então?

O que pode ser feito? Algumas coisas. A Amazon pode instituir um PIN (código) telefônico, como a GoDaddy usa: um número que fica separado da senha da sua conta e só é usado para lidar diretamente com o serviço de atendimento ao cliente via telefone. A Amazon pode cruzar os pedidos de troca com os quatro últimos meios de pagamento usados. Isso nunca foi perguntado ao fraudador. Eles poderiam fazer ainda melhor e checar o histórico de bate-papo/suporte. Esse cara teve pelo menos quatro conversas via bate-papo praticamente ao mesmo tempo, como camundongos testando jaulas eletrificadas, todas perguntando a mesma coisa. Isso deveria ser um enorme sinal de alerta para a Amazon. Em vez disso, nenhum atendente sabia dos demais. E quando ele fez o pedido para o envio de um novo produto em substituição ao que (segundo ele) não foi entregue, duas horas mais tarde com um atendente diferente, ninguém sabia que havia um histórico onde ele questionava sobre a “sua conta ter sido hackeada.”

A Amazon também poderia entrar em contato com a polícia e pedir que eles intimassem a ReShip a entregar os dados do dono do endereço virtual lá, embora ele provavelmente não esteja nos EUA e, portanto, esteja fora da jurisdição norte-americana. O problema, então, se volta novamente para a Amazon. Eu gosto muito da vontade de ajudar e da mentalidade de operar basicamente sem perguntas. Mas as perguntas que são feitas não são suficientes. E ainda que o fraudador jamais tenha tido acesso à minha conta, isso tudo me deixou assustado. Eu não sabia o que mais ele seria capaz de convencer os atendentes a fazer: eles pensavam estar falando comigo, então talvez pudessem alterar o endereço de email. Nesse ponto, ele poderia reconfigurar toda a conta mantendo meus meios de pagamento intactos e comprar o que fosse possível. Como ele estava enviando as coisas para um endereço que não o dele, poderia causar um estrago antes que o alarme do meu cartão soasse, ou o seu limite fosse atingido.

Espero que a Amazon considere acrescentar algumas outras informações básicas identificáveis para o acesso e manipulação de contas desse jeito. É frustrante, aterrorizante e seu nome, email e endereço normalmente não são difíceis de serem descobertos. Enquanto isso, eles continuarão pagando por uma quantidade insana de fraudes, bem de baixo dos seus narizes, facilitada por seus atendentes excessivamente amigáveis.

Imagem: Flickr/amandagroe (Creative Commons)

***

Chris Cardinal é um ex-colaborador do Gizmodo que atualmente é Gerente de Parcerias no Synapse Studios, uma empresa de desenvolvimento web em Tempe, Arizona. Você pode ler mais do que ele escreve aqui, e segui-lo no Twitter.

Sair da versão mobile