Eric Springer é cliente da Amazon e descobriu que a empresa revela informações bem particulares se receber alguns poucos dados: basta informar o seu nome, endereço de e-mail, e um endereço de envio que nem precisa estar correto.
Esta é a história: há quatro meses, Eric recebeu um email de Amazon agradecendo-lhe por ter contatado o serviço ao cliente. Que educado! O único problema é que ele não havia entrado em contato com a empresa.
Preocupado com a resposta automática que recebeu, Eric pediu uma transcrição do chat para a Amazon, e descobriu que um engenheiro social fingiu ser ele para obter acesso a informações críticas de sua conta. Não é preciso estar logado para iniciar um chat.
Bastou informar o nome, e-mail e um endereço de envio. O problema é que este último item fornecido ao atendimento da Amazon era um endereço falso, que Eric usou para registrar sites. No entanto, com essa confirmação, a Amazon revelou o endereço real.
Com a residência real dele, seu endereço de email e seu nome, o engenheiro social poderia fazer bastante dano. Como lembra o The Next Web, “quando um hacker obtém um dado do usuário, muitas vezes eles podem usá-lo para conseguir mais”.
Eric avisou a Amazon sobre esta brecha, e a empresa prometeu melhorar a segurança. Ele assumiu que o caso estava encerrado… até receber outro e-mail da Amazon na semana passada.
Mais uma vez, ele pediu pela transcrição do chat. E isso mostrou novamente que, para obter acesso, o hacker só precisava de um nome, endereço de e-mail e endereço para correspondência.
Pior: houve uma terceira tentativa do engenheiro social. Desta vez, ele tentou obter os quatro últimos números do cartão e a data de validade. Felizmente para Eric, o representante solícito da Amazon deixou claro que “não poderia oferecer nenhuma informação sobre o cartão”.
Isso é uma melhoria em relação a 2012, quando um hacker pediu informações a um representante da Amazon, obteve os quatro últimos dígitos do cartão e assim ganhou acesso à vida online do jornalista Mat Honan. Ele conseguiu acesso ao iCloud, depois ao Gmail, depois à conta do Twitter.
Curioso para reproduzir a história de Eric, o usuário bot-vladimir do Reddit tentou reproduzir o caso: ele usou o endereço de um hotel nas proximidades, e a Amazon entregou prontamente o endereço real dele.
Eu tentei fazer o mesmo, mas sem sucesso. Tenho um endereço antigo que está disponível publicamente graças ao Whois. No entanto, um atendente da Amazon descobriu o meu golpe rapidamente e se recusou a revelar mais informações. Mesmo após eu confirmar meu endereço atual, ele disse que seria necessário falar comigo por telefone para continuar o atendimento.
Talvez a Amazon já tenha aprendido a lição… ou o hack depende da pessoa que atender na sua vez. Na engenharia social, a maior vulnerabilidade não é uma senha ou um endereço de e-mail: é a credulidade de quem está no outro lado da linha. Nós entramos em contato com a Amazon, que ainda não respondeu.
Esta história serve como um grande alerta de que mesmo a melhor senha não está imune a um engenheiro social. Por isso, é bom ativar a verificação em duas etapas: dessa forma, você cria um obstáculo adicional para hackers.
[Medium via Reddit e The Next Web]
Foto por Noelas H./Flickr