Новости и события » Hi-Tech » Системы телефонной аутентификации уязвимы для атак, позволяющих красть деньги

Системы телефонной аутентификации уязвимы для атак, позволяющих красть деньги

Часто в таких системах есть опция, при выборе которой сервис звонит вам на телефон и воспроизводит код голосом.

Прошлой осенью Свиннен выяснил, что если в Instagram ввести бизнес-номер, звонок на который который тарифицируется по увеличенной стоимости, и часть средств идет владельцу, сервис не отвергает его. Исследователь нашел способ заставить Instagram звонить ему каждые 30 секунд с помощью API - за 17 минут удалось заработать 1 британский фунт. В Facebook вначале заявили, что это не уязвимость, но впоследствии все же выплатили исследователю вознаграждение и устранили брешь.

В феврале тот разработал аналогичную атаку для сервисов Google. В компании в ответ на уведомление заявили, что имеют средства предотвращения таких злоупотреблений, хотя и не идеальные.

Самым "прибыльным", по словам Свиннена, оказался сервис Microsoft Office 365 - теоретически на нем можно было заработать миллионы. Корпорация тоже выплатила исследователю вознаграждение.

Как отмечает Свиннен, существует еще масса сайтов, пользующихся телефонной аутентификацией, и какие-то из них, возможно, тоже уязвимы.


Видео о том, как эффектно доминировать в Conan Exiles

Видео о том, как эффектно доминировать в Conan Exiles

Всего через неделю с небольшим - 31 января - мультиплеер Conan Exiles от создателей Age of Conan и The Secret World появится в «Раннем доступе» сервиса Steam. Однако прежде чем отправиться в этот жестокий мир, команда Funcom предлагает вам подробнее ...

загрузка...

 

Вверх