黑客通过语音验证漏洞每年可从谷歌微软公司赚钱-阿里云开发者社区

开发者社区> 安全> 正文

黑客通过语音验证漏洞每年可从谷歌微软公司赚钱

简介:

比利时安全研究员Arne Swinnen发现通过双因素语音验证系统一年能从Facebook、Google和Microsoft公司盗窃数百万欧元。

许多部署双因素认证(2FA)的公司通过短信息服务向用户发送验证码。如果选择语音验证码,用户会接收到这些公司的语音电话,由机器人操作员大声念出验证码。

接收电话通常为与这些特定账户绑定的电话号码。

 

 

从理论上讲,攻击者还可以攻击其它公司

Swinnen通过实验发现,他可以创建Instagram、 Google以及Microsoft Office 365账号,然后与高费率(premium)电话号码绑定也不是常规号码。

当其中这三个公司向账户绑定的高费率电话号码提供验证码时,高费率号码将登记来电通话并向这些公司开具账单。

Swinnen认为,攻击者可以创建高费率电话服务和假Instagram、Google或Microsoft账号,并绑定。

Swinnen表示,攻击者能通过自动化脚本为所有账号申请双因素验证许可,将合法电话呼叫绑定至自己的服务并赚取可观利润。

攻击者可赚取暴利

根据Swinnen计算统计,从理论上讲,每年可以从Instagram赚取206.6万欧元,Google 43.2万欧元,以及Microsoft 66.9万欧元。

Swinnen通过漏洞报告奖励计划向这三家公司报告了攻击存在的可能性。Facebook给予他2000美元的奖励,Microsoft的奖励金额为500美元,Google在“Hall of Fame”(名人堂)中提及他。

Arne Swinnen先前还发现了Facebook的账户入侵漏洞,并帮助Instagram修复登录机制,防止多种新型蛮力攻击。





====================================分割线================================


本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章