Amazon 2FA: comprometer el correo electrónico lleva a comprometer 2FA, por ejemplo, ¿eliminar el otro factor?

4

Tuve una situación interesante: mi cuenta de Amazon tiene 2FA habilitado, donde mi teléfono inteligente con autenticador de google es mi segundo factor.

Debido a problemas con este teléfono, mi segundo factor básicamente se rompió (ya no produce pines confiables). Desde que estaba en una máquina que estaba marcada como de confianza, podía comprar, etc., solo con mi correo electrónico y contraseña en esta máquina.

Sin embargo, cuando intenté agregar un nuevo teléfono inteligente como factor de reemplazo, incluso en mi dispositivo de confianza, se me pidió que ingresara el segundo factor, que no pude. Luego tuve que recurrir a ingresar un número de teléfono en el área de soporte y un representante me devolvió la llamada.

Ahora, lo que sucedió causó un poco de duda sobre la utilidad de mi elegante 2FA: el agente me pidió mi dirección de correo electrónico que solía iniciar sesión en Amazon, que le dije. Entonces el agente me envió un pin a esta dirección de correo electrónico. Después de leerle este pin al agente, ella sugirió que se deshabilitara todo el 2FA para poder iniciar sesión, hacer mis cosas y, finalmente, habilitar 2FA de nuevo.

¿Es este un vector de ataque plausible? Soy consciente de que un atacante necesita la contraseña de mi cuenta de amazon y la contraseña de la cuenta de correo de esta cuenta de amazon, lo que a su vez no es trivial, pero estoy un poco irritado porque, sin más dilación, podría eliminar el segundo factor de mi autenticación. . No se solicitó más información como fecha de nacimiento, etc.

(Dado que mi dirección de correo electrónico no reutilizó la contraseña de amazon (o ninguna contraseña) y usa un 2FA, considero que esta amenaza es muy baja para mi situación, pero de alguna manera me parece extraño)

    
pregunta Samuel 19.10.2017 - 14:55
fuente

2 respuestas

4
  

¿Es este un vector de ataque plausible?

Muchos sitios de consumidores basan sus medidas de seguridad en una cadena de confianza. Confían en usted para asegurarse de que su método de contacto principal esté bien protegido. Necesitan un contacto principal, que en la mayoría de los casos es su dirección de correo electrónico. Todos los restablecimientos de contraseñas, administración de cuentas, notificaciones, etc. pasan por esto.

Teniendo en cuenta el tamaño de Amazon y el% de personas con la tecnología lo suficientemente inteligente como para configurar y administrar la autenticación multifactor avanzada, imagino que es una decisión empresarial mantener su 2FA lo más simple posible. Después de todo, no es su problema si su cuenta de correo electrónico se ve comprometida, lo que sería un paso obligatorio para luego deshabilitar su 2FA.

Para estar completamente seguro, tomaría medidas adicionales para asegurar el paso final en la cadena de confianza, es decir, su cuenta de correo electrónico. Google acaba de lanzar una característica muy agradable que crea un sistema de autenticación de múltiples factores que requiere controles extendidos para restablecer. Es posible que no esté utilizando una cuenta de Google, pero es un buen ejemplo de cómo hacerlo.

Obtenga más información aquí: enlace

    
respondido por el Trickycm 19.10.2017 - 15:17
fuente
0

Te estás perdiendo un factor: tu teléfono.

Aunque el generador de código 2FA de su teléfono ya no funcionaba, aún tenía el control de su teléfono. Esto se verificó cuando Amazon te llamó, en lugar de que tú los llamaras.

Para recibir la llamada de Amazon, un adversario debería tener acceso físico a su dispositivo o de alguna manera interceptar la llamada. Si un adversario tiene acceso físico a tu dispositivo, serías deshuesado de todos modos. Sin acceso a la infraestructura del teléfono / celular, la única forma en que alguien podría interceptar la llamada es si tienen la tarjeta SIM correcta. Eso requiere robar el suyo, lo que también requeriría tener las manos en su dispositivo y se notaría bastante rápido una vez que intente acceder a Internet, o piratear el suyo (consulte esto sobre una vulnerabilidad de 2013 ).

También he oído hablar de la ingeniería social utilizada en los proveedores de teléfonos celulares para obtener una tarjeta SIM de reemplazo. Hace un tiempo un popular canal de YouTube afirmaba que esto les había sucedido. No recuerdo quién y no puedo encontrar el video, por lo que puedo ser incorrecto en ese punto.

Entonces, si bien este es un vector de ataque, no es mucho más que alguien que ya tenga sus manos en tu teléfono.

    
respondido por el Rob Rose 19.11.2017 - 05:13
fuente

Lea otras preguntas en las etiquetas