我注意到几个月前发送短信的费用很奇怪,由于我们的代码还不支持发送短信,我一直在调查它。
事实证明,当我们调用"UpdateUserPool"到+12064350128(206-435-0128(时,AWS Cognito正在发送短信。这不是与我们的账户、代码或任何人员相关的电话号码。更糟糕的是,这个AWS帐户只托管公众无法访问的开发环境。所以我们知道这要么是亚马逊员工的号码,要么是安全漏洞(或者两者兼有(。
有其他人发生过这种事吗?在谷歌上搜索这个电话号码时,除了可能来自西雅图的某个人之外,什么也没找到。
有人知道这些消息中发送了什么样的数据,或者如何弄清楚其中的内容吗?是密码吗;机密信息?
我打开了短信记录,这是我可以收集的所有数据:
{
"notification": {
"messageId": "975e37a9-a5f1-5397-b6d0-63fdbad40d83",
"timestamp": "2018-10-31 21:21:41.756"
},
"delivery": {
"destination": "+12064350128",
"priceInUSD": 0.00645,
"smsType": "Transactional",
"providerResponse": "Message has been accepted by phone",
"dwellTimeMs": 168,
"dwellTimeMsUntilDeviceAck": 2514670
},
"status": "SUCCESS"
}
我从AWS支持部门收到了以下信息。看起来是无害的。哇!
我完全理解您对AWS Cognito发送消息的担忧电话号码:+12064350128。我与Cognito团队取得了联系发现当你做出UpdateUserPool API调用,发送消息至+12064301228这适用于所有AWS帐户。电话号码+12064350128是内部号码,并向该号码发送消息以验证Cognito和SNS正确集成,使Cognito可以发送短信到其他数字。请注意,没有安全信息包括密码正在该短信的内容中传递只是一条示例消息,指示SNS与Cognito集成正确地
请放心,我们将最大限度地处理客户的数据隐私,我们有严格的安全机制来检查欺诈活动。
我也完全同意上述行为需要记录在案因此,我将联系Cognito团队来获得这个在我们的文档中进行了更新,以避免进一步混淆。