比利時安全研究員Arne Swinnen發現通過雙因素語音驗證系統一年能從Facebook、Google和Microsoft公司盜竊數百萬歐元。
許多部署雙因素認證(2FA)的公司通過短資訊服務向使用者發送驗證碼。如果選擇語音驗證碼,使用者會接收到這些公司的語音電話,由機器人操作員大聲念出驗證碼。
接收電話通常為與這些特定賬戶綁定的電話号碼。
從理論上講,攻擊者還可以攻擊其它公司
Swinnen通過實驗發現,他可以建立Instagram、 Google以及Microsoft Office 365賬号,然後與高費率(premium)電話号碼綁定也不是正常号碼。
當其中這三個公司向賬戶綁定的高費率電話号碼提供驗證碼時,高費率号碼将登記來電通話并向這些公司開具賬單。
Swinnen認為,攻擊者可以建立高費率電話服務和假Instagram、Google或Microsoft賬号,并綁定。
Swinnen表示,攻擊者能通過自動化腳本為所有賬号申請雙因素驗證許可,将合法電話呼叫綁定至自己的服務并賺取可觀利潤。
攻擊者可賺取暴利
根據Swinnen計算統計,從理論上講,每年可以從Instagram賺取206.6萬歐元,Google 43.2萬歐元,以及Microsoft 66.9萬歐元。
Swinnen通過漏洞報告獎勵計劃向這三家公司報告了攻擊存在的可能性。Facebook給予他2000美元的獎勵,Microsoft的獎勵金額為500美元,Google在“Hall of Fame”(名人堂)中提及他。
Arne Swinnen先前還發現了Facebook的賬戶入侵漏洞,并幫助Instagram修複登入機制,防止多種新型蠻力攻擊。
====================================分割線================================
本文轉自d1net(轉載)
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)