半夜Amazon离奇被盗
Amazon账户被盗刷,盗贼利用Chrome密码簿漏洞获取登录信息,并最终通过邮箱获取取货码,Amex最终赔付。
1. 关键信息
- 用户Amazon账户被盗,盗贼创建了两个家庭成员,并购买了价值750美元的AMD CPU和AirPods,寄往NJ的一个711取货点。
- 盗窃手法涉及Chrome密码簿被一锅端,400条账号密码对泄露。
- 盗贼通过劫持Chrome监控Gmail邮箱,获取了取货码。
- 尽管用户联系Amazon客服要求取消订单,但订单最终被取走。
- 最终,Amex通过dispute赔付了用户的损失,Amazon方面未采取实质性措施。
2. 羊毛/优惠信息
- 无
3. 最新动态
- 无
4. 争议或不同意见
- 关于Amazon客服处理效率和安全措施的有效性存在疑问。
- 用户对盗窃者如何登录Amazon账户并取走物品表示疑惑,但后续解释为通过邮箱获取取货码。
5. 行动建议
- 强烈建议使用独立的密码管理器(如Bitwarden),并启用双重认证(2FA),最好是基于手机的验证器应用,而非仅依赖邮箱。
- 警惕下载和安装不明来源的软件,特别是GitHub上的forked仓库。
- 定期更换账户密码,并为不同网站设置不同密码。
- 妥善保管手机和助记词,以防密码管理器账户被盗。
- 了解信用卡dispute流程,以备不时之需。
记录一次离奇Amazon被盗经历:
1.May 30 晚8点,有人登录了我的amazon account,创建了两个family member,然后买了一个amd cpu一个airpods,总共750刀,然后邮寄到nj的一个711 pickup location. 当时我在外面吃饭,没注意手机的notification。
2. May 31,早上醒来发现amex 大额提醒,然后在我的amazon service page惊奇的看见两个我没下过的单子。立马改密码,登出所有devices,然后打amazon客服。
3. 客服说因为两个东西还没被picked up,只要盗号的无法登录我的号,他就没法拿东西,5天以后会自动return。
现在想想,amazon这个账号用了,5年,密码从来没改也是大意了。改密码+2FA走起。顺便把其他购物网站和信用卡网站的密码都改了。
update: 收到amazon邮件了,确认是unauthorized order,然后他们好像把这个order删了。我Order history里看不到了。。。
update: 他们怎么把我自己29号买鞋的order也给删了???那我咋退货???
update: 小丑竟是我自己,下午两点东西还是被pick up走了。反正amazon已经confirm unauthorized order,大不了去amex dispute算了。所以amazon就真的一点事情也不干,我好奇最后就是amex财大气粗赔钱了事?
【引用自 宁静致远】:
只要盗号的无法登录我的号,他就没法拿东西,5天以后会自动return
可是不一定啊…. 你不能cancel吗?
已经寄到了就不能cancel了。
【引用自 宁静致远】:
那我咋退货
新的ms
Order删除也能退货的。删除只是你看不到了(盗号的经常玩这招)。找客服就行。
你的订单只是被隐藏了。你看不到,可以联系客服 重新显示
…
不只是amazon被盗,整个chrome password book被一锅端,400条账号密码对直接公开了。。。楼主号已经找不回来了,找回来也不敢用了。。。。
现在在跟amazon和amex来回扯皮。
有线索是怎么盗的chrome PW么?
我去 说明你电脑中木马了啊 解锁chrome密码需要你本机密码啊
github里有个creamAPI的repo,有毒。
对,trojan,劫持了chrome。
登录不了amazon 账户,怎么pickup order的
应该是劫持了chrome以后监控了gmail邮箱,直接从邮箱里提取了pickup code。
我在他们pick up前已经打电话让amazon cancel,显然客服esclate以后根本没人处理,他们但凡改一下或者nullify pickup code也不会被提走。
用bitwarden plugin的话也怕这种trojan么
还有就是,如果目的是pirate games的话为啥去不下载fitgirls repack,方便又安全
所以我们普通人应该做些什么避免此时发生在自己头上呢
dont download and install sketchy sh*t
store pw on a password manager
Lock it down with 2FA
好答案,但是看样子lz做到了后两条然而并没有什么用(虽然chrome的password manager根本不算password manager,但如果暂且不提这茬)
I guess I meant it as lock down your password manager and other accounts with a 2FA authenticator on a mobile device, that’s how I do it. Email 2FA is just not as effective.
I don’t think chrome’s pw manager even offers 2FA
有道理
下一个问题,如果手机被偷了就要靠助记词了?
用authy的话有recovery pw
bitwarden 不怕,他可以伪装登录你的chrome session,但是他依然无法拿到bitwarden plugin的login session。
creamapi给正版steam游戏破解dlc用的。本体还是要买的,我只是不想花那么多钱买dlc。creamapi本身是没问题的,就是要注意要去github发布者的repo里pull,不能随便pull个fork过的repo。
amazon 哪个环节有bug?
账号独立密码,开了2fa,在当天自己下单以后,被盗刷,用amex点数买了东西
还把order删掉了
要不是系统自动发现然后cancel了,这谁能察觉到???
+1 遇到过类似的,盗号的买了个搅拌机 真不知道amazln怎么做的安全
你可以dispute但是你这个账号和你的地址都会被标记 无退货仅退款金额大的都会这样
小号回来更新下,最后是amex dispute赔了了事。amazon根本什么都没做。