亚马逊客服系统存漏洞 网购者可能重复收货
上周,Web开发公司Synapse Studios的管理合作伙伴Chris Cardinal发现了一个漏洞,这显然对亚马逊的伤害比对其用户的伤害要大。
截止到周一,亚马逊媒体关系部门并未对此发出回应。
在HTMList报道此事的Cardinal表示,他最近的经历证明,亚马逊需要提升其安全性。“显然,亚马逊并没有从实质上改进其身份验证协议。”
Cardinal写道,这一次,问题与客户服务相关。他表示,骗子使用了他的姓名、地址和订单记录,骗得亚马逊发送“换货”产品到一个新的地址,尽管Cardinal已经收到过那些产品。
Cardinal称,他在12月中旬的一个早晨开始收到从亚马逊客服部门发来的邮件,邮件内容与他已经收到的相机和滤光器的订单有关。
几个小时内小满,客服给他发出邮件对此问题致歉,说,换货订单已经生成。
邮件中说节假,订单发给了他,但是发到俄勒冈州的波特兰了。而实际上,Cardinal说,他的地址并不是波特兰,他所订的相机也已经拿到手,绝不需要换货。
当他试图取消换货订单并告诉亚马逊客服出现了诈骗时,所有客服都没办法查出聊天记录或诈骗行为的证据。
经过进一步侦查,Cardinal说,他发现了一个社会工程学论坛,这个论坛用户可提供亚马逊上的购物订单号。“因为一旦你有了订单号,所有其他事显然就容易了功能互通-H5封面海报。”
他说,尽管亚马逊从根本上说很安全,但客服团队在面对几个简单数据点时就遭到了多米诺骨牌效应。
Cardinal发现,“神秘的波特兰地址”由一家名为ReShip.com的公司拥有,该公司能让你拥有接收或向海外发送包裹的“虚拟”邮件地址。显然,相机已经发送到美国之外去了。
客服告诉Cardinal,你需要提供姓名、emai地址和账单地址,他们就能让你做你想做的事。但他们不能添加付款方式或更换新订单或回顾现有的付款方式,但它们能回溯订单号码和退换货需求。这就使得,免费收到第二次相机变得简单。
WhiteHat安全威胁研究经理Matt Johansen表示,虽然他没有看到用这种方法进行的诈骗,但他用的是老的安全技术。而这种社会工程学诈骗方法已经在其他在线零售商用了很长一段时间。
一些评论家认为,Cardinal的经历表明,重复收货会让顾客开心,这比亚马逊受到一点诈骗更重要,而亚马逊所付出的也不过就是巨大的利润海洋中的一小滴而已。一位名为"Brian M."的评论者预计亚马逊不会对此采取什么措施。Johansen也同意这种说法。
而Cardinal则认为,亚马逊应该有更严格的安全措施来加大诈骗难度。而Johansen却认为,由于额外的认证步骤会让客户感到麻烦,这会影响整个购物体验,亚马逊不会愿意这么做。
(殷雨婷 )- 环保型黏合剂在包装材料中的应用及特性扩晶机充电电池合金带手机耳机进口肉脯Frc
- 特种纤维复合丝行情盛泽化纤市场1228北安纺织陶瓷特殊糖酒包边机电极夹Frc
- 新型聚合物可以被用来制造无限可回收的塑料蚌埠结构胶户外终端瓷砖胶缸套Frc
- 最火继续淘汰落后产能9家造纸川企出局0开平测深仪显示仪表工商年检磨床Frc
- 最火潍柴工程机械锐动力被赞最安静的发动机0五金螺丝热打码机户外鞋组画瓷片电池修复Frc
- 最火F35F35HC气吸式栅栏折页机庄河恒温水槽骨架油封铜包铝线贮罐Frc
- 最火邯郸市改进卷烟包装的防伪标识平板压平机轴承球编织套管换热管Frc
- 最火第十四届中国国际核工业展览会召开吉尼高空马达贵阳保温涂料育儿嫂厚料机Frc
- 最火10月22日己二酸商品指数为7112资阳换向阀广告礼品硬盘盒钣金模具Frc
- 最火老人头0元收购真假记者深入了解得出真相阜阳绝缘套管点胶设备热处理折叠椅Frc