Uwierzytelniaj 2FA, zarabiaj pieniądze ;)

Żeby ukraść sporą ilość pieniędzy przez Internet, wcale nie trzeba szukać dziur w oprogramowaniu, pisać exploitów czy tworzyć ransomware na Bogu ducha winnych użytkowników. Na bardzo niecodzienny pomysł wpadł belg, Arne Swinnen, który na co dzień zajmuje się bezpieczeństwem komputerowym i szuka luk w oprogramowaniu. Odkrył w jaki sposób okraść trzy największe firmy takie jak Google, Microsoft i Instagram wykorzystując  w tym celu… Dual Factor (podwójną autentykację użytkownika).

Metoda „ataku” była dość prosta, Arnie założył w tym celu nowy numer telefonu – PREMIUM oraz utworzył kilka fejkowych kont w usługach owych korporacji i połączył je jednym numerem telefonu typu PREMIUM. Każde logowanie było potwierdzane telefonicznie:

Swinnen wykorzystał lukę polegającą na tym, że systemy nie weryfikowały statusu numeru i traktowały go, jako zwykły numer telefonu. Przekalkulował, że w ten sposób mógłby ukraść €432,000 rocznie z Google, €669,000 rocznie z Microsoft i ponad €2,000,000 rocznie z Instagrama. Korzystając z systemu bug bounty (do zgłaszania bugów), otrzymał od Microsoftu i Facebooka łącznie $2500, podczas gdy Google umieściło jego nazwisko w swoim „Hall of Fame”. Gratulujemy pomysłowości!

Źródło: http://thehackernews.com