Исследователь нашёл лазейку обкрадывания Facebook и Microsoft
Наука и техника
Исследователь нашёл лазейку обкрадывания Facebook и Microsoft
09:30 19.07.2016
356
Рассказать друзьям

Бельгийский исследователь в сфере информационной безопасности Арне Свиннен нашёл способ вытягивания денег из Facebook через сервис Instagram, у Google и Microsoft с применением голосовой системы распределения токенов при двухфакторной аутентификации (2FA).

Большинство использующих 2FA компаний отправляют своим пользователям короткие коды через сообщения СМС. Если пользователь пожелает, то вместо СМС он может получать голосовой звонок, во время которого автоматизированный оператор говорит код вслух. Звонок выполняется на привязанный к учётной записи номер телефона.

Свиннен сумел создать аккаунты в Instagram, Google и Microsoft Office 365, а потом привязать их к премиальному номеру телефона вместо обычного. Звоня на этот номер, компании получают за это счёт на оплату. C применением скриптов хакеры могут запрашивать метки аутентификации у всех аккаунтов и зарабатывать на телефонных звонках.

Подсчёты показывают, что за год теоретически можно заработать 2.066.000 евро на Instagram, 432.000 евро на Google и 669.000 евро на Microsoft. Технические подробности отличаются для каждого сервиса. Информация была отправлена в программы поиска багов соответствующих компаний. От Facebook за это была получена награда в $2000, в Microsoft — $500, в Google — упоминание в зале славы компании.

Интересное в разделах на сайте
Грэбберсы (2012) / Grabbers
2012, Великобритания, Ирландия
Высотка (2015) / High-Rise
2015, Великобритания, Бельгия
Перлини української класики (збірник)
Леся Українка Іван Якович Франко Михайло Михайлович Коцюбинський Тарас Григорьевич Шевченко Василь Стефаник Микола Хвильовий Григорій Квітка-Основ’яненко Iван Нечуй-Левицький
Пассажиры
2016, США
Аисты
2016, США