Дослідник знайшов пролазку обкрадання Facebook і Microsoft
Наука і техніка
Дослідник знайшов пролазку обкрадання Facebook і Microsoft
09:30 19.07.2016
276
Розповісти друзям

Бельгійський дослідник у сфері інформаційної безпеки Арне Свінен знайшов спосіб витягування грошей з Facebook через сервіс Instagram, у Google і Microsoft із застосуванням голосової системи розподілу токенов при двофакторній аутентифікації (2FA).

Більшість компаній, що використовують 2FA, відправляють своїм користувачам короткі коди через повідомлення СМС. Якщо користувач побажає, то замість СМС він може отримувати голосовий дзвінок, під час якого автоматизований оператор каже код вголос. Дзвінок здійснюється на прив'язаний до профілю номер телефону.

Свінен зумів створити акаунти в Instagram, Google і Microsoft Office 365, а потім прив'язати їх до преміального номеру телефону замість звичайного. Телефонуючи на цей номер, компанії отримують за це рахунок на оплату. Із застосуванням скриптів хакери можуть запитувати мітки аутентифікації у всіх акаунтів і заробляти на телефонних дзвінках.

Підрахунки показують, що за рік теоретично можна заробити 2.066.000 євро на Instagram, 432.000 євро на Google і 669.000 євро на Microsoft. Технічні подробиці відрізняються для кожного сервісу. Інформація була відправлена ​​в програми пошуку багів відповідних компаній. Від Facebook за це була отримана нагорода в $ 2000, в Microsoft — $ 500, в Google — згадка в залі слави компанії.

Цікаве в розділах на сайті
Ма Ма (Ma ma)
2015, Іспанія, Франція
Макс Манус: Человек войны (2008) / Max Manus
2008, Норвегія, Данія, Німеччина
Перлини української класики (збірник)
Леся Українка Іван Якович Франко Михайло Михайлович Коцюбинський Тарас Григорьевич Шевченко Василь Стефаник Микола Хвильовий Григорій Квітка-Основ’яненко Iван Нечуй-Левицький