Экспозиция
Давным-давно еще, кажется до 2014 года, завел я аккаунт на AWS для личных нужд поиграться. Прикрутил к нему MFA. До 2022 года успело случиться многое: переезд внутри страны и смена номера, смена страны и смена номера. Но одно было неизменно: я ничего не покупал на amazon и за рамки free tier не выходил.
Решил я значит посмотреть цены на мультиварку, пока визу жду. Где это делать? И вот Оказывается в европе очень популярен amazon для совершения покупок. При попытке логина пытается верифицировать через второй фактор отправив смс на сотовый. Смс не приходили. Ну что-ж, наверно проблемы из-за роуминга, попробую потом. Потом тоже не получилось, ни через неделю, ни через день.
Тут где-то заподозрил что что-то идет не так. Попробовав логин в AWS вдруг я понял что и в правду не так. Логин в AWS тоже не работает.
Завязка
Люди мы не глупые, с поддержкой общаться умеем. Написал в поддержку мобильного оператора "доколе?". В поддержке на удивление ответили вполне официальной бумагой, что смс не приходило от amazon.
В поддержку amazon попасть это то еще приключение оказалось:
С сайта обращения не оставить, только звонить.
Звонить из роуминга на американский номер - ну такое удовольствие, спасло наличие заначки $$$ на skype аккаунте.
Если прозвонишься, то меня не могли верифицировать т.е. адрес точный указанный в аккаунте не помнил.
-
Ну ок, иногда проходил через уровень адреса.
Позже оказалось, проблема была в номере дома. В аккаунте было написано 23k4, а я диктовал 23-4. иногда прокатывало, иногда нет.
Но что бы отключить mfa и/или нужно пройти процедуру подтверждения: адрес покупки, сумма покупок, смс. я ничего это не мог.
А что насчет завести тикет? Можно завести только на качество обслуживания. Не помогло кстати.
Один раз смог пробиться по телефону на 2 уровень поддержки, который общался с командой отвечающий за смс и обещал завести тикет. Но тоже что-то не срослось.
На данном этапе поддержка предлагала только удалить старый аккаунт и создать новый. Как это заафектит мой AWS аккаунт никто не мог сказать. Потеряю к нему доступ или нет было непонятно. Хоть аккаунт личная песочница без нагрузки - потерять не хотелось его.
Развитие
Что же делать?
Поискать знакомых в AWS/amazon работающих. - мимо, на удивление не нашлось, только MS, google и прочие FAANG.
Написать на reddit https://www.reddit.com/r/aws/comments/utwndj/5_steps_to_lose_your_aws_account/ - прочитал пару схожих историй, разбираться с провайдером. В целом ничего дельного. Из интересного узнал что в 2017 amazon отделил AWS.
Решил написать в группу в телеграме https://t.me/aws_ru/120990 . При входе меня бот побанил, благо нашлись знакомые админы и разбанили там. Ребята посочувствовали и сказали, что обычно проблемы на стороне провайдера.
Вот вы знали что amazon & aws имеют разные поддержки? У меня проблемы с логином в AWS есть? Есть! Давайте попробуем обратиться к ним. Упс... Так нельзя. Обращения оставлять только после логина можно. А что делать если не могу т.к. проблема с MFA? оказывается есть такая страница https://support.aws.amazon.com/#/contacts/aws-mfa-support на которой можно описать свой кейс и мб тебе помогут.
Это оказался очень продуктивно. Но не с первого раза. Вначале меня футоболили на поддержку amazon, но потом попался кто-то очень-очень адекватный с 3(?) уровня поддержки. Выслушал все мои пруфы:
Старый номер на аккаунте и текущий доступны для звонков и другие смс приходят.
Он звонит на номер который указан для второго фактора.
Знаю номер, текст тикетов из 2012-2014 годов.
Скинул письмо от мобильного оператора.
Что есть читалка kindle на которую я залогинен.
Почта доступна.
Общались долго и интересно. Сделал заметки из общения с поддержкой mfa aws team:
Если аккаунт создан до 2017 года, то используется верификация от amazon и необходимо разбираться с ними. т.к. действительно они тогда разделяли логины.
Проблема в том что мой аккаунт очень старый. Еще с тех времён(до 2017) когда Amazon & AWS были едины. И именно amazon тригерил two step verification.
У них связка по email, и теоретически, если удалить аккаунт на amazon, то разблочиться AWS. Но он в это м не уверен.
Он не вправе ничего сделать т.к. проблема на стороне amazon, предложил обратиться в кор тим.
Предложил попробовать обратиться в поддержку kindle, типа может они смогут меня разлочить и это даст прогресс
Мой кейс куда-то эскалировали на экстра верификацию. Спойлер: пришёл отказ.
Кульминация
Появилась идея как хакнуть систему. Там сейчас загвоздка, что они не могут подтвердить меня тк нет достаточно инфы в amazon аккаунте(не AWS). Недостаточно т.к. я никогда ничего не покупал через него и не добавил секретные вопросы.
Лайфхак в том, что у меня есть kindle на котором я залогинен и могу купить что-нибудь для подтверждения. Тут правда вылазит сложность в том что протухщая карта привязана и для ее апдейта необходимо залогиниться. Опустим момент, что карта из РФ и на большой земле она не работает. Но ведь книжку можно купить попробовать через подарочную карту.... Осталось придумать как это сделать, когда у тебя нет рабочей карты.
Развязка
Попросил коллегу купить подарочную карту от amazon.
При помощи подарочной карты с kindle купил книжку.
-
Позвонил в поддержку, меня там помучили, но в итоге запустили какой-то процесс “regain access” и спросили:
Серийный номер kindle.
Последние 4 цифры кредитки и дату(поддержка банка помогла с данными просроченной карты).
Баланс подарочной карты.
После этого я получил доступ в аккаунт. Успех!
Эпилог
История затянулась примерно на 3-4 недели. Кейс редкий, забавный и мало кто сможет воспроизвести:
Заводим аккаунт до 2017 года.
Ничего не покупаем на amazon никогда там.
Указываем в профиле amazon номер телефона.
Используем номер телефона от тинькова.
Логинимся в amazon из новой локации.
Amazon лочит аккаунт.
В AWS не можем зайти тк amazon заблокирован.
Как подстелить соломки?
Пересоздать root аккаунт.
Использовать разные почты.
Использовать приложения для MFA.
Завести секретные вопросы.
Сделать несколько копеечных покупок.
Сделать бэкап MFA.
Комментарии (16)
easyman
30.10.2022 12:10Мне кажется, если нужен только AWS, можно завести новый AWS account. Если у Вас infrastructure as a code и не надо извлекать какие-либо данные, возможно, это проще.
AWS рекомендуют распределенную модель, такую как project-per-account model.
https://aws.amazon.com/ru/organizations/getting-started/best-practices/
Из бонусов, у каждого аккаунта своя триалка и свои бесплатные лимиты.
Есть ли какие-то минусы, риски в случае заведения нового аккаунта?
ultral Автор
30.10.2022 12:15это личный акаунт созданный более 10 лет назад, что бы пощупать aws и прояснить вопросы с сапортом про BYOL. на личном акаунте ничего не крутилось. вся нагрузка сидит на правильных корпоративных акаунтах и даже не в AWS.
Pest85
31.10.2022 06:28Для MFA очень удобен Authy, в отличие от MS Authenticator и подобных его можно перенести на другое устройство без танцев с бубном. Залитый\украденный телефон не становиться источником долгих и занудных проблем
metric_ghost
Прежде публикации нужно хоть немного вычитать текст и проверить на ошибки. Нельзя же так!
ultral Автор
какой-то баг в хабра редакторе словил. текст который начинается с "Вобщем шаги что бы воспроизвести" его не видно в редакторе. поддержка не ответила еще...
dartraiden
Поэтому лучше создавать посты в старой версии редактора.
ultral Автор
обчно пишу их в markdown через vscode со spell checker т.к. опечатки в тексте в упор не вижу(может это форма дислексии? но забавно, что в коде такого нет). Тут же решил поэксперементировать и воспользоваться новым редактором. вышло не очень =/