Rya*_*ton 4 security sms amazon-web-services amazon-cognito
我注意到几个月前发送的 SMS 消息有一笔奇怪的费用,由于我们的代码尚不支持发送 SMS 消息,我一直在调查它。
事实证明,当我们将“UpdateUserPool”调用到 +12064350128 (206-435-0128) 时,AWS Cognito 正在发送文本消息。这不是与我们的帐户、我们的代码或我们的任何人员相关联的电话号码。更糟糕的是,这个 AWS 账户只托管公众无法访问的开发环境。所以我们知道它要么是亚马逊员工的号码,要么是安全漏洞(或两者兼而有之)。
有其他人发生过这种情况吗?除了可能来自西雅图的某个人之外,对该电话号码的谷歌搜索一无所获。
有谁知道这些消息中发送的是什么类型的数据,或者如何找出其中的内容?是密码和机密信息吗?
我打开了 SMS 日志记录,这是我可以收集的所有数据:
{
"notification": {
"messageId": "975e37a9-a5f1-5397-b6d0-63fdbad40d83",
"timestamp": "2018-10-31 21:21:41.756"
},
"delivery": {
"destination": "+12064350128",
"priceInUSD": 0.00645,
"smsType": "Transactional",
"providerResponse": "Message has been accepted by phone",
"dwellTimeMs": 168,
"dwellTimeMsUntilDeviceAck": 2514670
},
"status": "SUCCESS"
}
我从 AWS 支持收到以下内容。看起来是无害的。哇!
我完全理解您对 AWS Cognito 向电话号码 +12064350128 发送消息的担忧。我与 Cognito 团队取得联系,发现当您进行 UpdateUserPool API 调用时,会向 +12064350128 发送一条消息,并且这适用于所有 AWS 账户,这是一种预期行为。电话号码 +12064350128 是内部号码,向该号码发送消息以验证 Cognito 和 SNS 是否正确集成,以便 Cognito 可以向其他号码发送短信。请注意,此 SMS 消息的内容中没有传递包括密码在内的安全信息,这只是一个示例消息,表明 SNS 与 Cognito 正确集成。
请放心,我们以最大的隐私对待客户的数据,并且我们有严格的安全机制来检查任何欺诈活动。
我也完全同意需要记录上述行为,因此我将与 Cognito 团队联系以在我们的文档中更新,以避免进一步混淆。
| 归档时间: |
|
| 查看次数: |
940 次 |
| 最近记录: |