ویاتک | اخبار حوزه دانش، فناوری و تکنولوژی به همراه مطالب علمی جذاب

یک محقق امنیتی راهی برای دزدیدن پول از اینستاگرام، گوگل و مایکروسافت یافته است

+

آرن سوینِن که یک محقق امنیتی اهل بلژیک است موفق شده شیوه‌ای خلاقانه را برای دزدیدن پول از شرکت‌هایی همچون فیسبوک (زیر مجموعه این شرکت، اینستاگرام)، گوگل و مایکروسافت با استفاده از تایید هویت دو مرحله‌ای صوتی این شرکت‌ها کشف کند. بیشتر شرکت‌هایی که از تایید دو مرحله‌ای (Two-Factor Authentication) برای سرویس‌های خود استفاده می‌کنند، معمولاً یک کد کوتاه را از طریق پیامک به گوشی کاربر می‌فرستند اما اگر کاربر بخواهد می‌تواند گزینه تماس صوتی را برای دریافت کد انتخاب کند و بدین ترتیب از سوی آن شرکت، یک ربات با کاربر تماس می‌گیرد و کد کوتاه را به وی اعلام می‌کند. این تلفن‌ها به شماره‌ای زده می‌شوند که کاربر پیش‌تر در اشتراک خود وارد کرده است.

آرن سوینِن با توجه به آزمایشاتی که انجام داده، دریافته است که اگر به جای یک شماره تلفن معمولی، از شماره‌ای ویژه برای ثبت اکانت گوگل، اینستاگرام و یا آفیس ۳۶۵ استفاده کند، می‌تواند به صورت قانونی و رایگان از این سرویس‌های پولی استفاده کند. وی می‌گوید اگر یکی از این شرکت‌ها برای اعلام آن کد کوتاه با شماره تلفن شما تماس بگیرد اتفاق خاصی نمی‌افتد، اما اگر هکر از یک شماره ویژه برای این‌کار استفاده کند، آن‌گاه می‌تواند از آن برای برقراری این تماس و همچنین پرداخت هزینه‌های لازم به این شرکت‌ها استفاده کند، بدون آن‌که یک دلار پول بپردازد.

سوینِن می‌گوید کسانی که قصد حمله دارند می‌توانند سرویس‌های تلفنی ویژه و همچنین اکانت‌های تقلبی اینستاگرام، گوگل و مایکروسافت را ایجاد کرده و آن‌ها را به یک‌دیگر متصل کنند. وی می‌گوید هکرها می‌توانند با استفاده از اسکریپت‌های خودکار، رمزهای ۲FA را برای تمامی اکانت‌های خود ارسال کرده و بدین ترتیب شماره تلفن ویژه خود را قانونی کنند و سپس با استفاده رایگان از سرویس‌های پولی و یا انجام دیگر کارها، سود کلانی را به جیب بزنند.

این حمله‌های جزئی، به دزدی‌های کلان منجر می‌شوند

طبق برآوردهای آرن سوینِن، او به صورت آزمایشی می‌تواند به ازای هر سال ۲,۰۶۶,۰۰۰ یورو از اینستاگرام، به ازای هر سال ۴۳۲,۰۰۰ از گوگل و به ازای هر شماره ویژه، ۶۶۹,۰۰۰ از مایکروسافت به دست بیاورد! جزئیات و میزان درآمد از هر سرویس به ازای اکانت یا مدت زمان، متفاوت است و آرن سوینِن جزئیات بیشتر آن را در وبلاگ خود منتشر کرده است. وی وجود این باگ امنیتی را به این سه شرکت گزارش کرده و فیسبوک به او ۲۰۰۰ دلار، مایکروسافت ۵۰۰ دلار و گوگل نیز مبلغی نامعلوم را به او داده‌اند.

نظر شما در مورد این باگ چیست؟

منبع:

واکنش شما:
like
0
love
0
haha
0
wow
0
sad
0
angry
0

دیدگاه ها

0 دیدگاه

avatar

wpDiscuz

© تمامی حقوق برای وبسایت ویاتک محفوظ است. نقل مطالب سايت تنها با ذکر و لینک به منبع مجاز است.