我注意到几个月前发送SMS消息的费用很高,由于我们的代码尚不支持发送SMS消息,因此我一直在进行调查。
事实证明,当我们调用“ UpdateUserPool”到+12064350128(206-435-0128)时,AWS Cognito正在发送文本消息。这不是与我们的帐户,代码或我们的任何人员相关的电话号码。更糟糕的是,这个AWS账户仅托管公众无法访问的开发环境。因此,我们知道这是亚马逊员工的电话号码或安全漏洞(或两者皆有)。
还有其他人发生过这种情况吗?那个电话号码的google没什么,除了可能来自西雅图的某人。
有人知道这些消息中正在发送什么样的数据,或者如何弄清楚它们中的内容吗?是密码和机密信息吗?
我打开了短信记录功能,这是我可以收集的所有数据:
{
"notification": {
"messageId": "975e37a9-a5f1-5397-b6d0-63fdbad40d83",
"timestamp": "2018-10-31 21:21:41.756"
},
"delivery": {
"destination": "+12064350128",
"priceInUSD": 0.00645,
"smsType": "Transactional",
"providerResponse": "Message has been accepted by phone",
"dwellTimeMs": 168,
"dwellTimeMsUntilDeviceAck": 2514670
},
"status": "SUCCESS"
}
答案 0 :(得分:2)
我从AWS支持部门收到以下信息。看起来像是无害的。哇!
我完全理解您对AWS Cognito发送消息的关注 电话+12064350128。我与Cognito团队取得了联系, 发现这是预期的行为,当您进行 UpdateUserPool API调用,一条消息发送到+12064350128,并且 这适用于所有AWS账户。电话号码+12064350128是 内部号码,并发送此号码的消息以验证是否 Cognito和SNS正确集成在一起,因此Cognito可以发送短信 其他数字。请注意,没有安全信息,包括 此SMS消息的内容中传递的密码是 仅指示SNS与Cognito集成的示例消息 正确。
请放心,我们将尽最大努力对待客户的数据 隐私,我们有严格的安全机制来检查任何 欺诈活动。
我也完全同意需要将上述行为记录在案 因此,我将与Cognito小组联系以获取此信息 为避免进一步的混乱,我们在文档中进行了更新。