Prise de contrôle accidentelle de compte Airbnb liée à des numéros de téléphone recyclés


https://www.scmagazine.com/ "class =" wp-image-107297 "srcset =" https://www.scmagazine.com/wp-content/uploads/sites/2/2020/09/GettyImages-910516582 -e1600260058738-1024x614.jpg 1024w, https://www.scmagazine.com/wp-content/uploads/sites/2/2020/09/GettyImages-910516582-e1600260058738-300x180.jpg 300w, https: //www.scmagazine .com / wp-content / uploads / sites / 2/2020/09 / GettyImages-910516582-e1600260058738-768x461.jpg 768w, https://www.scmagazine.com/wp-content/uploads/sites/2/2020/ 09 / GettyImages-910516582-e1600260058738-860x516.jpg 860w, https://www.scmagazine.com/wp-content/uploads/sites/2/2020/09/GettyImages-910516582-e1600260058738-156x94.jpg 156w, https: //www.scmagazine.com/wp-content/uploads/sites/2/2020/09/GettyImages-910516582-e1600260058738-312x187.jpg 312w, https://www.scmagazine.com/wp-content/uploads/sites /2/2020/09/GettyImages-910516582-e1600260058738-640x384.jpg 640w, https://www.scmagazine.com/wp-content/uploads/sites/2/2020/09/GettyImages-910516582-e1600260058738-1280x768. jpg 1280w, https://www.scmagazine.com/wp-content/uploads/sites/2/2020/09/GettyImages-910516582-e1600260058738.jpg 1500w "tailles =" (largeur maximale: 1024px) 100vw, 1024px "/>
 
<figcaption>Le PDG d'Airbnb, Brian Chesky, monte sur scène lors d'un événement entrepreneurial en 2016. Airbnb affirme avoir résolu une faille de confidentialité impliquant des numéros de téléphone recyclés et de nouvelles inscriptions à un compte. (Kurt Krieger / Corbis via Getty Images)</figcaption></figure>
<p>C'est une faille qui peut entraîner une prise de contrôle de compte, le vol de cartes de crédit et des fuites de confidentialité, et pourtant elle n'a pas été corrigée pendant des années sur certains sites Web et applications en ligne.</p>
<p>Le scénario fonctionne comme ceci: un propriétaire d'appareil mobile tente d'enregistrer un compte sur un site Web ou une application Web, en utilisant un numéro de téléphone qui lui a été récemment attribué par un opérateur de télécommunications. Mais ce numéro de téléphone appartenait auparavant à un autre propriétaire de téléphone qui, à un moment donné, s'était également inscrit au même service Web. Au lieu de créer un nouveau compte, le nouveau propriétaire de l'appareil est connecté au compte du propriétaire d'origine du numéro de téléphone.</p>
<p>«C’est probablement l’une des plus anciennes vulnérabilités en ce qui concerne les numéros de téléphone mobile… et l’identité», a déclaré Marc Rogers, directeur exécutif de la cybersécurité chez Okta.</p>
<p>C’est presque comme si le nouveau propriétaire de l’appareil avait réussi une escroquerie à l’échange de cartes SIM – mais il n’y avait aucune intention de tromperie. Personne n'a incité l'opérateur de téléphonie mobile à réaffecter le numéro de téléphone d'une victime à un autre appareil. C'est juste arrivé par hasard.</p>
<p>Néanmoins, une personne moins éthique pourrait profiter de la situation en parcourant le compte en ligne de l’étranger pour trouver les informations de sa carte de paiement ou ses données personnelles. C'est ce qui a obligé une citoyenne inquiète à contacter SC Media la semaine dernière après que son mari ait rencontré cette faille lors de l'enregistrement d'un compte sur le marché de location de vacances en ligne Airbnb.</p>
<p>«Lorsque nous sommes allés sur le site Airbnb pour nous inscrire, le site nous a donné quelques options pour nous inscrire en tant que nouvel utilisateur. La première option sur la liste est par numéro de téléphone », a rapporté le pronostiqueur, qui souhaite rester anonyme. "Nous avons donc saisi le numéro de téléphone de mon mari – qu'il a obtenu en mai dernier, il n'y a pas si longtemps."</p>
<p>Son mari a alors reçu un code de vérification à quatre chiffres pour entrer sur le site, et «boum! Nous étions connectés au compte d'un autre utilisateur », a-t-elle déclaré.</p>
<p>Ce compte appartient à un inconnu dont les informations de carte de crédit valides, l'adresse e-mail, le numéro de téléphone et d'autres informations personnelles étaient tous accessibles au pronostiqueur et à son mari – apparemment tout cela parce que l'étranger était auparavant propriétaire du numéro de téléphone du mari.</p>
<p>Lorsque SC Media a contacté Airbnb vendredi dernier au sujet de la plainte, un porte-parole a déclaré que la société traiterait le problème et a suivi mardi une déclaration: «Nous avons développé une résolution pour le problème signalé impliquant des numéros de téléphone recyclés et de nouvelles inscriptions de compte, ce qui n'a heureusement touché qu'un très petit nombre de nos utilisateurs. Nous évaluons et améliorons constamment nos protections et nous nous engageons à renforcer les contrôles de sécurité de notre plateforme. »</p>
<p>Mais le pronostiqueur n'était pas d'accord et a déclaré que le problème n'était pas résolu. Elle a dit qu'elle avait déterminé cela non pas en se connectant à nouveau au compte de l'étranger, mais en essayant de créer un nouveau compte Airbnb en utilisant son propre numéro de téléphone (pas celui de son mari), même si elle avait déjà un compte enregistré avec ce numéro. Au lieu de créer un nouveau compte, elle était connectée à son propre compte précédemment existant, a-t-elle déclaré à SC Media.</p>
<p>De plus, elle a déclaré qu'elle n'avait jamais reçu d'alertes d'Airbnb l'informant de cette activité de connexion anormale au compte – et a donc conclu que l'étranger dont le compte avait été piraté accidentellement ne l'avait probablement jamais fait non plus. </p>
<p>Le pronostiqueur a envoyé à SC Media de nombreuses captures d'écran du site Web Airbnb comme preuve de cette prise de contrôle accidentelle de compte, ainsi que des images de son activité de chat avec le support en ligne d'Airbnb. À un moment donné, le membre de l’équipe d’assistance dit au pronostiqueur que la seule façon pour le mari de créer son propre compte est de s’enregistrer avec un numéro de téléphone différent, apparemment parce que son propre numéro était toujours associé au compte de l’étranger.</p>
<p>Il s'avère que les sites Web et les applications sont confrontés à ce problème courant depuis des années.</p>
<div class=
https://www.scmagazine.com/
Marc Rogers, directeur exécutif de la cybersécurité chez Okta. (Kimberly White / Getty Images pour TechCrunch)

«Les numéros de téléphone sont recyclés plus fréquemment qu'auparavant, en particulier avec l'explosion de nouveaux appareils nécessitant des cartes SIM», a expliqué Rogers.

Les entreprises de télécommunications essaient d'éviter les problèmes associés au recyclage des numéros désavoués en les mettant hors service pendant un certain temps avant de les recycler. (La FCC exige un minimum de 90 jours.) Cependant, ce n'est pas une panacée, et il est donc conseillé que les développeurs de sites Web et d'applications Web – ainsi que les propriétaires de comptes Web – suivent les meilleures pratiques pour aider à atténuer le problème.

Mais beaucoup ne le font pas. En effet, le service de messagerie WhatsApp aurait également rencontré le même problème de connexion d'individus avec des numéros de téléphone recyclés dans les comptes d'autres personnes.

Dans certains cas, les exploitants de sites Web ou d'applications pourraient se trouver en violation du RGPD ou des normes de sécurité des données de l'industrie des cartes de paiement si les informations des utilisateurs étaient exposées, a déclaré Rogers.

Bonnes pratiques pour les développeurs, les utilisateurs

Pour commencer, les développeurs Web et d'applications doivent geler les comptes après une période d'inactivité. De cette façon, saisir un numéro de téléphone réutilisé des mois après la mise en veille d'un compte ne peut pas simplement le réactiver automatiquement.

"Selon les meilleures pratiques, si vous avez un compte utilisateur rester silencieux pendant plus d'une durée définie – en particulier un compte associé aux détails de paiement – vous devez le verrouiller", a déclaré Rogers, "parce que cet utilisateur est parti."

"À tout le moins, si l'utilisateur semble revenir, forcez-le à passer par un processus de réinscription pour prouver qu'il est la même personne", a poursuivi Rogers. "Mais cela ne se produit pas dans certains cas, et il existe de nombreuses applications de haut niveau qui s'accrochent aux informations des utilisateurs, presque indéfiniment."

Dans le cas présenté par l'informateur, on ne sait pas si l'étranger dont le compte a été accidentellement accédé utilise toujours activement son compte Airbnb, bien qu'il n'utilise plus le numéro de téléphone avec lequel elle l'a initialement enregistré. Si elle utilise activement son compte, la suggestion de Rogers à Airbnb de verrouiller les comptes inactifs n'aurait pas à elle seule empêché la prise de contrôle accidentelle de compte.

Pourtant, même des entreprises comme Airbnb peuvent faire plus. À savoir, ils peuvent ajouter un deuxième facteur d'authentification lors de l'inscription ou de la réinscription à un service Web en ligne. «Il devrait demander des informations supplémentaires, en particulier lors de la visualisation de choses comme les systèmes de paiement financier», a déclaré Rogers. Une simple preuve que vous possédez physiquement le téléphone n'est pas suffisante dans la situation présentée par le pronostiqueur: "Eh bien, bien sûr vous êtes en possession du téléphone », a déclaré Rogers. Après tout, le numéro de téléphone vous a été attribué.

Les alertes de connexion proactives qui informent les titulaires de compte lorsqu'une nouvelle activité de connexion anormale a lieu peuvent également s'avérer être une mesure de sécurité utile pour avertir de possibles reprises de compte avant que des dommages ne soient causés.

L'application de messagerie Signal est un exemple d'entreprise qui suit les meilleures pratiques, a déclaré Rogers. Si les utilisateurs de Signal échangent des téléphones ou changent de numéros sur un téléphone, ils commencent avec un historique des messages vide lorsqu'ils réinstallent l'application.

Il incombe également aux propriétaires de comptes individuels de modifier les détails de leur compte en ligne ou même de désactiver leurs comptes s'ils prévoient de supprimer ou de changer de numéro de téléphone, a déclaré Rogers. Il s'agit également d'une leçon potentiellement importante pour les entreprises, qui fournissent et réapprovisionnent parfois des appareils mobiles appartenant à l'entreprise à plusieurs employés qui peuvent continuer à utiliser ces appareils pour créer des comptes en ligne.

"Le même problème existe avec les téléphones mobiles que vous achetez d'occasion sur eBay", a déclaré Rogers, notant qu'il "a ramassé des téléphones d'occasion et trouvé des informations sensibles sur les utilisateurs, même des identifiants de session valides provenant de grands comptes."

https://www.scmagazine.com/ "class =" wp-image-107302 "width =" 300 "height =" 200 "srcset =" https://www.scmagazine.com/wp-content/uploads/sites /2/2020/09/GettyImages-1220017894-300x200.jpg 300w, https://www.scmagazine.com/wp-content/uploads/sites/2/2020/09/GettyImages-1220017894-1024x683.jpg 1024w, https : //www.scmagazine.com/wp-content/uploads/sites/2/2020/09/GettyImages-1220017894-768x512.jpg 768w, https://www.scmagazine.com/wp-content/uploads/sites/ 2/2020/09 / GettyImages-1220017894-860x573.jpg 860w, https://www.scmagazine.com/wp-content/uploads/sites/2/2020/09/GettyImages-1220017894-156x104.jpg 156w, https: //www.scmagazine.com/wp-content/uploads/sites/2/2020/09/GettyImages-1220017894-312x208.jpg 312w, https://www.scmagazine.com/wp-content/uploads/sites/2 /2020/09/GettyImages-1220017894-640x427.jpg 640w, https://www.scmagazine.com/wp-content/uploads/sites/2/2020/09/GettyImages-1220017894-1280x853.jpg 1280w, https: / /www.scmagazine.com/wp-content/uploads/sites/2/2020/09/GettyImages-1220017894.j pg 1500w "tailles =" (largeur max: 300px) 100vw, 300px "/>
 
<figcaption>Illustration photo: un homme regarde le site Airbnb. (Yuriko Nakao / Getty Images)</figcaption></figure>
</div>
<p>Un meilleur service client de la part d'Airbnb aurait également pu aider le pronostiqueur, qui était frustré par de multiples malentendus alors qu'il parlait à un agent du support client. À un moment donné, le représentant a pensé à tort que l'informateur lui demandait si elle pouvait effectuer une réservation par un tiers. Puis plus tard, le représentant a adressé un mauvais nom au pronostiqueur, en utilisant le nom de l'étranger dont le compte a été accidentellement détourné.</p>
<p>Bien que Rogers n’ait pas été surpris d’apprendre ce problème, il a exprimé sa perplexité quant aux raisons pour lesquelles les développeurs continuent de se débattre avec cette vulnérabilité.</p>
<p>«Nous connaissons ce problème depuis au moins 20 ans. Et il existe de nombreuses applications qui sont conçues de manière sécurisée pour s'assurer que leurs applications sont conçues de manière confidentielle », a déclaré Rogers. "Je dirais donc qu'il n'y a pratiquement aucune excuse pour les applications qui ne font pas cela."</p>
</p></div>
<p><br />
<br /><a href=Source link

Pourquoi créer une vitrine en ligne ?

On voit clairement qu’il est vraisemblable de se lancer rapidement sans argent et inconscient technique particulière. Je vous conseille de vous jeter rapidement en dropshipping essentiellement ne pas mettre trop d’argent sur votre site. Il vous faut à tout prix avoir un budget marchéage pour produire venir visiteurs sur votre boutique : c’est le nerf de la guerre. Car comme je l’ai dit, vous pouvez avoir la plus belle boutique. Sans trafic, vous ne ferez onques de chiffre d’affaires. Une fois que vous aurez testé, votre marché vous allez pouvoir alors prendre un stock.