Независимый исследователь из Бельгии Арне Свиннен обнаружил способ заработать на Instagram, Google и Microsoft. Об этом он рассказал в своем блоге.
Для своих интернет-сервисов эти компании предлагают услугу двухфакторной аутентификации, во время логина с которой пользователям предлагаются не только текстовые сообщения с кодом, но и голосовые вызовы. Свиннен сумел использовать не по назначению эти системы у Facebook (через Instagram), Google и Microsoft.
Исследователь использовал в качестве номера телефона так называемые премиум-номера, за звонок на который начислялась дополнительная плата. Все три компании не имели механизма защиты от таких атак.
Свиннен разработал этот способ атак еще осенью 2015 года и сразу сообщил о своей находке разработчикам. Теперь уязвимость уже устранена, а Microsoft и Instagram даже выплатили Свиннену награду.
Ранее бельгиец обнаружил в Instagram уязвимость, которая позволяет взломать 4% аккаунтов соцсети.