パスワードを忘れた? アカウント作成
13908311 story
セキュリティ

米Amazon.comの出品者アカウントに対し不正アクセス、売上金や借入金が不正に引き出される 10

ストーリー by hylom
狙われるアカウント 部門より
あるAnonymous Coward曰く、

米Amazon.comで、出品者のアカウントを狙った不正アクセスが多数発生していたという(The Mercury NewsBloombergSlashdot)。

昨年の2018年5月から10月までの約半年間、約100の出品者アカウントに不正アクセスがあり、売上金や借入金が不正に別口座に移動されていたという。不正アクセスを受けたアカウントの情報については現在調査中で、Amazon側は詳細については明らかにしていないようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年05月14日 15時26分 (#3614308)

    AmazonはAWSでもECの一般ユーザーも2要素認証をサポートしてるけど、普及率はいかほどなんだろう。
    これさえ使ってたらほとんどのケースで不正アクセスは防げるのに。
    もちろん、ユーザー側がフィッシングなんかにかかってトークンまで盗まれることもあるだろうが。

    ビジネス向けアカウントは2要素認証を強制してもいいんじゃなかろうか。
    でも、複数人で管理してたりするから個人アカウントより難しいのかな。

    • by onetime_id (39093) on 2019年05月15日 9時15分 (#3614739) 日記

      > ビジネス向けアカウントは2要素認証を強制してもいいんじゃなかろうか。
      sellercentralを使う場合、強制されるよ。
      #他にビジネス向けアカウントというのが存在しうるのかとかはよく分かってないけど。。。

      親コメント
    • by Anonymous Coward

      「あれ登録した携帯どこに置いてきたっけ?」

    • by Anonymous Coward

      Amazonに限らず、スマホアプリを使うタイプの2要素認証は、スマホの紛失や買い替え時にめんどくさくなりそうで、導入を躊躇ってる。
      2要素認証にした方がいいのはわかってるけど、今のところは現状のままで問題ないしなぁ。
      Authyってアプリを使えばバックアップもデータ移行もできるみたいだけど。
      Google Authenticatorがバックアップに対応してくれないかなあ。

      • by Anonymous Coward

        Google Authenticatorに対応したスマホの二段階認証って、基本的に時刻ベースのTOTPなので、
        バックアップ可能なIIJ SmartKey [iij.ad.jp]を使うという選択肢もある。

        ダメダメなハックとしては、二段階認証設定時にスマホとバックアップ用スマホの2台を同時に設定する。
        2段階認証解除用のコードと一緒に、設定用QRコード(TOTPの場合、サービス名と生成用の鍵が書いて有る)を印刷して金庫に保管という手段もある。

      • by Anonymous Coward

        普通にAuthy使えばいいじゃん。
        自分もずっと使ってるけど、クラウドバックアップもしてくれるが、そもそもiPhoneのバックアップに含まれてるようで、
        リストアすれば戻ってくる。

        >現状のままで問題ないし

        って、それなら保険やホームセキュリティは不要ってことになりますよ。問題が起きるまでは不要って。
        2FAはちょっとした手間でかなりセキュリティ高められるし必須だと思う.

        • by Anonymous Coward

          そりゃ高い保険やホームセキュリティもコストと天秤にかけて自分には不要って人はいっぱいいるでしょうよ
          時間やコストを考えて要不要を考えるのなんて当たり前なんで、必要性を説くのにそんな的外れな例を出されてもな

  • by Anonymous Coward on 2019年05月14日 16時00分 (#3614321)
    こういうサブジェクトの怪しげなメールがよく来るんだが、それに乗ってIDとパスワードを漏らしちゃった人がターゲットになるのかな。
    ちなみに本文は

    Amazonをご利用いただきありがとうございます。お客様のAmazon ID情報の一部分は不足、あるいは正しくないです、お客様のアカウント情報を保護するために、検証する必要があります。
    ご注意:24時間以内にお客様からのお返事がない場合にはアカウントはロックされます。
    アカウント検証
    なぜこのメールを受け取ったのだろうか?
    この電子メールは、定期的なセキュリティチェック中に自動的に送信されました。当社はお客様のアカウント情報に完全に満足しておらず、引き続きサービスを継続的にこ利用いただくためにアカウントを更新する必要があります。
    今後ともよろしくお願い致します。
    Amazon.co.jp

    • by Anonymous Coward
      追記。

      こういうサブジェクトの怪しげなメールがよく来るんだが、それに乗ってIDとパスワードを漏らしちゃった人がターゲットになるのかな。

      「それに乗って」を「こういうメールの英語版に乗って」に訂正します。Amazon.comの話題だからね。

      • by Anonymous Coward

        「乗せられて」と言いたいのかな。
        「乗せられる」んだから「乗って」でも間違いではないのか。
        なんか違和感があってモヤモヤする。

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...