AWS Cognito отправляет SMS-сообщения без моего разрешения - PullRequest
Новая
       8

AWS Cognito отправляет SMS-сообщения без моего разрешения

0 голосов
/ 06 ноября 2018

Я заметил странную плату за отправку SMS-сообщений несколько месяцев назад, и, так как наш код еще не поддерживает отправку SMS-сообщений, я изучаю его.

Оказывается, AWS Cognito отправляет текстовые сообщения, когда мы вызываем UpdateUserPool +12064350128 (206-435-0128). Это не номер телефона, связанный с нашей учетной записью, нашим кодом или каким-либо из наших сотрудников. Что еще хуже, эта учетная запись AWS поддерживает только те среды разработки, к которым у общественности нет доступа. Итак, мы знаем, что это либо номер сотрудника Amazon, либо утечка безопасности (или оба).

У кого-нибудь еще было это? Google для этого номера телефона ничего не нашел, кроме как, вероятно, от кого-то в Сиэтле.

Кто-нибудь знает, какие данные отправляются в этих сообщениях или как выяснить, что в них? Это пароли и конфиденциальная информация?

Я включил ведение SMS-сообщений, и это все данные, которые я мог собрать: 

{
    "notification": {
        "messageId": "975e37a9-a5f1-5397-b6d0-63fdbad40d83",
        "timestamp": "2018-10-31 21:21:41.756"
    },
    "delivery": {
        "destination": "+12064350128",
        "priceInUSD": 0.00645,
        "smsType": "Transactional",
        "providerResponse": "Message has been accepted by phone",
        "dwellTimeMs": 168,
        "dwellTimeMsUntilDeviceAck": 2514670
    },
    "status": "SUCCESS"
}

1 Ответ

0 голосов
/ 07 ноября 2018

Я получил следующее от службы поддержки AWS. Похоже, это безобидно. Уф!

Я полностью понимаю вашу озабоченность по поводу отправки сообщений AWS Cognito на номер телефона +12064350128. Я связался с командой Cognito и обнаружил, что это ожидаемое поведение, когда вы делаете Вызов API UpdateUserPool, сообщение отправлено +12064350128 и это относится ко всем аккаунтам AWS. Номер телефона +12064350128 является внутренний номер и сообщение на этот номер отправляется, чтобы проверить, если Cognito и SNS правильно интегрированы, поэтому Cognito может отправлять SMS на другие номера. Обратите внимание, что никакой информации о безопасности, включая пароли передаются в содержании этого SMS-сообщения, это просто пример сообщения о том, что SNS интегрирован с Cognito правильно.

Пожалуйста, будьте уверены, что мы обрабатываем данные клиента с максимальной конфиденциальность и у нас есть строгий механизм безопасности на месте, чтобы проверить любой мошеннические действия.

Я также полностью согласен с тем, что вышеуказанное поведение необходимо задокументировать и, следовательно, я буду обращаться к команде Cognito, чтобы получить это обновлено в наших документах, чтобы избежать путаницы.

...