【連網(wǎng)】 E安全7月18日訊 比利時(shí)安全研究員Arne Swinnen發(fā)現(xiàn)通過雙因素語音驗(yàn)證系統(tǒng)一年能從Facebook、Google和Microsoft公司盜竊數(shù)百萬歐元。
許多部署雙因素認(rèn)證(2FA)的公司通過短信息服務(wù)向用戶發(fā)送驗(yàn)證碼。如果選擇語音驗(yàn)證碼,用戶會(huì)接收到這些公司的語音電話,由機(jī)器人操作員大聲念出驗(yàn)證碼。
接收電話通常為與這些特定賬戶綁定的電話號(hào)碼。
從理論上講,攻擊者還可以攻擊其它公司
Swinnen通過實(shí)驗(yàn)發(fā)現(xiàn),他可以創(chuàng)建Instagram、 Google以及Microsoft Office 365賬號(hào),然后與高費(fèi)率(premium)電話號(hào)碼綁定也不是常規(guī)號(hào)碼。
當(dāng)其中這三個(gè)公司向賬戶綁定的高費(fèi)率電話號(hào)碼提供驗(yàn)證碼時(shí),高費(fèi)率號(hào)碼將登記來電通話并向這些公司開具賬單。
Swinnen認(rèn)為,攻擊者可以創(chuàng)建高費(fèi)率電話服務(wù)和假Instagram、Google或Microsoft賬號(hào),并綁定。
Swinnen表示,攻擊者能通過自動(dòng)化腳本為所有賬號(hào)申請雙因素驗(yàn)證許可,將合法電話呼叫綁定至自己的服務(wù)并賺取可觀利潤。
攻擊者可賺取暴利
根據(jù)Swinnen計(jì)算統(tǒng)計(jì),從理論上講,每年可以從Instagram賺取206.6萬歐元,Google 43.2萬歐元,以及Microsoft 66.9萬歐元。
Swinnen通過漏洞報(bào)告獎(jiǎng)勵(lì)計(jì)劃向這三家公司報(bào)告了攻擊存在的可能性。Facebook給予他2000美元的獎(jiǎng)勵(lì),Microsoft的獎(jiǎng)勵(lì)金額為500美元,Google在“Hall of Fame”(名人堂)中提及他。
Arne Swinnen先前還發(fā)現(xiàn)了Facebook的賬戶入侵漏洞,,并幫助Instagram修復(fù)登錄機(jī)制,防止多種新型蠻力攻擊。
連云港日報(bào)社主辦 連網(wǎng)·連云港新聞網(wǎng) 未經(jīng)授權(quán)·嚴(yán)禁轉(zhuǎn)載 連云港日報(bào)社(連云港報(bào)業(yè)傳媒集團(tuán))版權(quán)所有 網(wǎng)站支持IPV6
互聯(lián)網(wǎng)新聞信息服務(wù)許可證編號(hào):32120180018 蘇ICP備12051824號(hào) 蘇新網(wǎng)備:2006026號(hào) 廣播電視節(jié)目制作經(jīng)營許可證:蘇字第330號(hào) 信息網(wǎng)絡(luò)傳播視聽節(jié)目許可證號(hào):1010496
報(bào)業(yè)集團(tuán) | 網(wǎng)站簡介 | 廣告服務(wù) | 法律事務(wù) | 應(yīng)急電話 | 江蘇省網(wǎng)絡(luò)視聽違規(guī)節(jié)目舉報(bào)窗口
