Tuve una situación interesante: mi cuenta de Amazon tiene 2FA habilitado, donde mi teléfono inteligente con autenticador de google es mi segundo factor.
Debido a problemas con este teléfono, mi segundo factor básicamente se rompió (ya no produce pines confiables). Desde que estaba en una máquina que estaba marcada como de confianza, podía comprar, etc., solo con mi correo electrónico y contraseña en esta máquina.
Sin embargo, cuando intenté agregar un nuevo teléfono inteligente como factor de reemplazo, incluso en mi dispositivo de confianza, se me pidió que ingresara el segundo factor, que no pude. Luego tuve que recurrir a ingresar un número de teléfono en el área de soporte y un representante me devolvió la llamada.
Ahora, lo que sucedió causó un poco de duda sobre la utilidad de mi elegante 2FA: el agente me pidió mi dirección de correo electrónico que solía iniciar sesión en Amazon, que le dije. Entonces el agente me envió un pin a esta dirección de correo electrónico. Después de leerle este pin al agente, ella sugirió que se deshabilitara todo el 2FA para poder iniciar sesión, hacer mis cosas y, finalmente, habilitar 2FA de nuevo.
¿Es este un vector de ataque plausible? Soy consciente de que un atacante necesita la contraseña de mi cuenta de amazon y la contraseña de la cuenta de correo de esta cuenta de amazon, lo que a su vez no es trivial, pero estoy un poco irritado porque, sin más dilación, podría eliminar el segundo factor de mi autenticación. . No se solicitó más información como fecha de nacimiento, etc.
(Dado que mi dirección de correo electrónico no reutilizó la contraseña de amazon (o ninguna contraseña) y usa un 2FA, considero que esta amenaza es muy baja para mi situación, pero de alguna manera me parece extraño)