Исследователь смог заработать на двухфакторной аутентификации Google и Microsoft

Независимый исследователь из Бельгии Арне Свиннен обнаружил способ заработать на Instagram, Google и Microsoft. Об этом он рассказал в своем блоге.

Для своих интернет-сервисов эти компании предлагают услугу двухфакторной аутентификации, во время логина с которой пользователям предлагаются не только текстовые сообщения с кодом, но и голосовые вызовы. Свиннен сумел использовать не по назначению эти системы у Facebook (через Instagram), Google и Microsoft.

Исследователь использовал в качестве номера телефона так называемые премиум-номера, за звонок на который начислялась дополнительная плата. Все три компании не имели механизма защиты от таких атак.

Свиннен разработал этот способ атак еще осенью 2015 года и сразу сообщил о своей находке разработчикам. Теперь уязвимость уже устранена, а Microsoft и Instagram даже выплатили Свиннену награду.

Ранее бельгиец обнаружил в Instagram уязвимость, которая позволяет взломать 4% аккаунтов соцсети.