■「Amazonの他人の購買情報や住所は筒抜け」はマジでした。

Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE

http://gigazine.net/news/20160125-amazon-customer-service-backdoor/

こーんな記事があったものだから、嘘くせえと思って実際にカスタマーサービスにチャットで問い合わせてみた。いうまでもなく、ソーシャル・エンジニアリングはクラックの基本である。セキュリティにうるさいAmazon社がこんなにザルなわけがないと思ったからだ。

なお、ニセの住所は他人に迷惑がかからないよう、また違法とならないよう配慮した（Amazon側にも適法な行為である旨、確認した）。

この増田が嘘くさいと思ったら同じことをやってみるといい。この時間だから、翌朝まではルールは変わらないのではないかと推測する。ただし問い合わせ方次第では違法行為と判断される可能性もあり、その際の責任は取れない。

さてまず、Amazonからログアウトし、

https://www.amazon.co.jp/gp/help/customer/contact-us/

ここから「アカウントを持っていない」と申告した上でチャットに接続した。用件は「配送について」。

さすがに問い合わせ内容からして途中からレスポンスががくんと遅くなったが、数分と待たなかった。既に同様の問い合わせがあったのかも知れないし、ある程度権限を持っているサポート係が途中から入れ替わったのかも知れない。また、人を試すような失礼な問い合わせに対し、真摯な態度で応対してくれたカスタマーサービスの方には感服したことは付け加えておく。

以下はチャットの問い合わせ内容のログである。ログを取った後に固有名詞を編集し、冗長な部分をカットしたが文意がどちらかに有利になったりしないように配慮して部分的な編集に留めるよう配慮した。

• お客様：増田
• 匿名：カスタマーサービスの人

====== 以下、チャットログ ======

匿名:お問い合わせいただきありがとうございます。Amazonカスタマーサービスの匿名でございます。

お客様:最後に購入した荷物が配送済みになっているか教えてもらえませんか

匿名:かしこまりました。

それでは、お客様のアカウント情報を確認致しますので、3点程、ご協力をお願い致します。

①アカウントにご登録のお名前②Eメールアドレス③ご住所　を教えてください。

お客様:名前：増田マス夫、 Eメール：masuda@example.com、 住所：『登録済みの「他人の」住所』

匿名:情報をお知らせいただき、ありがとうございます。

恐れ入りますが、増田様のアカウントでの最終注文は1月21日付のデジタル書籍『えっちな漫画』のご注文となっているようです。

お客様:電子書籍ではなくて、物理的な荷物の方です

匿名:物理的なお荷物で採集は1月18日の『 個人的な商品 400g』、『 個人的な商品 3個入 』、『 個人的な商品 ベージュ 』となり、

お客様:はい

匿名:[運送会社名]にて1月22日に配達済みとなっております。

お客様:おかしいですね

配送先はどこになってますか？

匿名:お届け先は、〒xxx-xxxx ＃＃＃増田の本当の住所。アパート名と部屋番号付き＃＃＃となっております。

お客様:ここから先のチャットは記録して下さい。

すべて記録しているでしょうけれども。

匿名:はい、チャット記録は全て残っておりますので、ご安心ください。

〜〜〜 ここで増田の問い合わせに違法性がなかったか念のため確認 〜〜〜

匿名:はい。(注：違法性はないですとの回答）

お客様:さっきお教えした住所は、配送先に指定している住所です。つまり私の友人、恋人、ネットで知り合った赤の他人の住所かも知れません。

本名からメールアドレスはFacebookで公開しているので誰でも参照可能です。ここで私に落ち度がないか確認したいのですが。

匿名:はい、増田様の仰るとおり、上記の情報は当カスタマーサービスでのアカウント確認の基準で言えば、いずれも満たしている状況でございます。

お客様:ということは、私の名前を知っていて配送先に指定されている赤の他人であれば、私の住所や購買情報などが筒抜けになってしまうということになりますが、間違いありませんか。

匿名:確かにカスタマーサービスへチャット、あるいはお電話にて連絡いただいた場合、本人確認として用いる情報を第三者が知り得ていれば、知れてしまう事となります。

お客様:ありがとうございます。電話の場合、記録は残りますか。

匿名:はい、電話の場合、通話記録を残しております。また、オペレーターがご案内した内容を事務連絡としてシステム上に記録として残しております。

お客様:ありがとうございます。

それでは以上の内容について、個人情報を取り扱う事業者として、どのようにお考えであるか、また、どのような対策を講じるか書面で頂きたいのですが、よろしいでしょうか。

宛先は先程の住所でよろしいです。

匿名:誠に申し訳ございません。当カスタマーサービスでは書面対応は承っておりませんので、ご登録のEメールアドレスへ回答を行わせていただく事となります。

お客様:それでは、Amazon社としての回答を頂けるのであれば電子情報でも構いません。

ただし、Amazon社の文章であることが確認できる電子署名等を添付してお送り頂ければです。

匿名:かしこまりました。

お客様:よろしくお願いします。

また、この会話記録を、匿名様のお名前を含む個人情報を削除し、タイプミスなどを修正し文意が変わらない形でネットに公開させて頂きますが構いませんでしょうか。

匿名:はい、その点は、お客様のご判断となりますため、当サイトにておとめする権限はございません。

お客様:ありがとうございます。以上となります。ご回答お待ちしておりますのでよろしくお願いいたします。

匿名:かしこまりました。

本日は、Amazon.co.jpにお問い合わせいただき、ありがとうございました。

それではこのままウィンドウ右上の「チャットを終了」から画面を閉じて、チャットを終了してください。

=== チャット終了 ====

ツイートする

Permalink | トラックバック(0) | 22:59