un blog de Radu Dumitru

►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄

Cum se pot face milioane de dolari din codurile de autentificare în Office, Instagram sau Google

20 Jul 2016  ·

TEHNOLOGIE  ·

16 comentarii

Un american belgian a găsit metoda perfectă de a face bani de pe urma Facebook, Google și Instagram. Practic este un exploit la limita legalității și înclină spre înșelătorie, dar ideea mi se pare extraordinară.

Știți sistemele de dublă autentificare, adică pe un site tu introduci user și parolă, apoi site-ul îți trimite un cod pe telefon sau email și trebuie să-l introduci și pe acela? Se pare că acel cod poate fi trimis și prin apel vocal, nu doar ca mesaj text, când bănuiesc că o voce robotică te sună și-ți recită codul.

Și dacă telefonul tău ar fi unul cu suprataxă? Un număr unde fiecare minut îi costă pe cei ce te apelează câțiva euro, exact ca la liniile erotice?

Un belgian a făcut tocmai asta, ce-i drept în scopuri de cercetare. A cerut în mod repetat, folosind niște scripturi, codul de autentificare. După ce i-a reușit a calculat, luând în considerare limitările acestor apeluri, că ar fi putut face:

  • 740.000 de dolari de la Office cu un singur cont
  • 2,3 milioane de dolari pe an cu Instagram și 100 de conturi
  • 470.000 de dolari de la Google pe an cu mai multe conturi

A fost doar un calcul. În practică, a raportat aceste probleme companiilor și a primit de la acestea 2.500 de dolari ca recompensă de bug-hunting (Google n-a dat nimic, că sunt zgârciți).

Punguta cu doi bani

sursa: The Register.

    16 comentarii

  1. Google are alte programe prin care da bani pentru bug-uri, dar ar fi fost bine sa ii dea si belgianului ceva. In fond le-a gasit o vulnerabilitate, Google a evitat niste pierderi de pe urma muncii lui si o recompensa ar fi incurajat si pe altii sa faca la fel.

      (Citează)

    • Au zis ceva de genul “nu era bug, securitatea utilizatorilor este importantă indiferent unde sunăm, avem niște măsuri care ar fi detectat eventual problema”. “No money for you!”

        (Citează)

    • Google are dreptate. Am încercat să fac asta mai demult și nu a mera. Presupun ca cu anumite numere tot ii poți fenta sunt anumite moduri de a filtra după prefix destinațiile, dar exista în diferite țări excepții, în lumea telecom astea se blochează pe bază de alerte de trafic în timp ce se produce exploitul, pe mai multe nivele. E posibil ca o fi găsit nenea alt range, provider de numere /DIDuri d-ăstea care să nu fie deja blocate, dar asta nu înseamnă că a descoperit gaura din macaroana. Pentru ceilalti se pare că a descoperit-o. Eu am presupus prostește că dacă nu a mers la google nu ar merge niciunde.
      Ghinion, cum ar zice cineva.

        (Citează)

  2. Google nu e zgarcit,
    Google asteapta desfasuratorul complet al facturilor telefonice :))

    Oricum, kudos pentru “descoperirea bug-ului”

      (Citează)

  3. Asta-i baiat mic ce probabil a stat prin Bucuresti si a avut de la cine invata.

    Ca sa exemplific, pana prin 2008 cand a inceput criza imobiliara erau diverse anunturi cu apartament 3 camere Unirii 95 000 euro. Evident ca o gramada sunau innebuniti dar sunau la un numar cu suprataxa ce ii tinea 2-3 minute pret de 5 euro ca pentru un asemenea chilipir oamenii erau dispusi sa plateasca 1.5 euro/minut sau cat o fi fost.

    Aici un articol scris pe vremea aia: http://hmirs.info/articole/editorial/148-despre-anunturile-de-vanzare-ce-au-la-contact-numere-cu-suprataxa.html

    Deci iata, mereu suntem fruncea :)

      (Citează)

  4. Nu pricep unde e “bug-ul”. În mod normal primești codul prin mail sau SMS, nu suni tu după el. Dacă suni după el este nevoie de o întreagă infrastructură de gen call-center pt a primi apelurile, care în cazul lui Office, etc există deja ca suport tehnic.

    Deci dacă compania care face înregistrarea vrea să pună nr. cu suprataxă, poate să o facă, nu tb. să-i spună un băiat american asta, dar de obicei face pe dos, pune număr toll-free (fără taxă, cu 1-800-xxxxxxx).

      (Citează)

    • Alias, nu cred ca ai inteles bine. Nu suna el la companie, ci face astfel incat sa fie el sunat de catre companie pe un numar cu suprataxa de pe care primeste el bani.

        (Citează)

  5. Era un belgian din America? :)

      (Citează)

  6. nwradu:
    Au zis ceva de genul “nu era bug, securitatea utilizatorilor este importantă indiferent unde sunăm, avem niște măsuri care ar fi detectat eventual problema”. “No money for you!”

    ar fi descoperit pana la urma, nu eventual

      (Citează)

  7. Nu reiese clar din articol care este bug-ul. Lasi sa se inteleaga ca bug-ul l-ar reprezenta faptul ca iti poti inregistra un nr. cu suprataxa drept nr de contact si astfel, Google/Microsoft/Facebook etc te vor suna si vei face bani. Problema este ca asta poti face si in continuare, e practic un cost pe care aceste companii si-l asuma (si o cheltuiala, pe deasupra), pentru a oferi acel 2-step authentication inclusiv prin apel de voce. E ca si SMS-ul pe care ti-l trimit, pentru ei este un cost.

    Bug-ul era de fapt modalitatea de bypass a limitei de apeluri de la aceste companii catre numarul tau cu suprataxa. Evident, companiile si-au setat o limita cu care probabil sunt confortabile a suporta cheltuielile respective. Daca la Microsoft era un bug in adevaratul sens al cuvantului, nu vad sa existe vreun bug la Google.

    In articolul sursa, ei zic ca “Google’s authentication system proved the most resilient”. Daca citesti cu atentie, explica acolo de ce Google nu a dat niciun ban – pentru simplul fapt ca ei sunt ok sa suporte acele cheltuieli si au deja o limita de apeluri pe ora – deci nu e niciun bug, sistemul merge in parametri setati de Google. Deci de unde sunt zgarciti? Poate ai vrut sa spui ca sunt mana-larga la cheltuieli si prefera sa suporte costurile datorate celor care fac astfel de exploatari, decat sa renunte la sistemul asta. Daca pentru Microsoft chiar era o vulnerabilitate mare, pe care au si rezolvat-o, la Google nu e vreun bug si nici nu au facut vreo modificare, pentru ca aveau deja protectiile necesare in-place.

    Oricum, asta e doar o poveste, senzationalism – cu niste cifre doar ipotetice, un calcul pentru un an facut de el in baza a cateva apeluri. Nici in vis nu ar fi putut sa faca acei bani, pentru ca nu ar fi putut sa primeasca apeluri non-stop timp de un an intreg. L-ar fi detectat (si blocat) in scurt timp. Chiar specifica acolo Google ca “The attempt to exfiltrate the money would be stopped after a short time though, as we have the mitigations in place to detect it”, deci na, si-au pus cel mai probabil o limita de $$ pe care sunt dispusi sa ii plateasca per user, apoi se blocheaza toata smecheria.

    Ca sa faca bani de pe urma asta, ar trebui sa isi faca efectiv un botnet, daca ruleaza sute de conturi in paralel atunci ar trebui sa aiba si IP-uri diferite pentru ele, ca altfe va fi blocat imediat. La fel si pentru numerele cu suprataxa, ar trebui sa inregistreze sute/mii de numere diferite, ceea ce, din nou, nu stiu cat de posibil e.

    Mai multe detalii direct de la sursa, site-ul lui Arne Swinnen – arneswinnen.net/2016/07/how-i-could-steal-money-from-instagram-google-and-microsoft/

      (Citează)

  8. Pare simplu, la prima vedere. Dar, cel putin pentru numerele cu suprataxa din Ro, apelurile se pot face doar de pe numere din Ro. Din ce am observat apelurile in cazul recuperarii parolei nu sunt de pe numere din Ro. Similar la SMS. In plus, la sms, am observat si cazul in care unele din siteurile mentionate de tine trimit parola prin intermediul unui numar scurt din Ro (fara suprataxa, de tip 18xx/17xx sau chiar cu sender id modificat), dar care nu poate comunica cu un alt numar cu suprataxa (limitari ale operatorilor de telefonie, probabil pentru a limita situatii de acest tip).

      (Citează)

  9. In America Nu ar fi functionat inselatoria, deoarece la un apel plătește si cel care suna si cel sunat. Nu știu cum funcționează numerele premium sau dacă exista in SUA, dar sistemul de apelare probabil ca e la fel ca si la cel cu numere obișnuite. :)

      (Citează)

    Alătură-te discuției, lasă un mesaj

    E-mail-ul nu va fi publicat. Fără înjurături și cuvinte grele, că vorbim prietenește aici. Gândiți-vă de două ori înainte de a publica. Nu o luați pe arătură doar pentru că aveți un monitor în față și nu o persoană reală.

    Apăsați pe Citează pentru a cita întreg comentariul cuiva sau selectați întâi anumite cuvinte și apăsați apoi pe Citează pentru a le prelua doar pe acelea. Link-urile către alte site-uri, dar care au legătură cu subiectul discuției, sunt ok.


    Prin trimiterea comentariului acceptați politica de confidențialitate a site-ului.



    Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.

    Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri

    Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.

sus