Бельгийский исследователь в сфере информационной безопасности Арне Свиннен нашел довольно простой способ украсть деньги у Facebook, Google и Microsoft.
Делал он это с помощью голосовой системы распределения токенов при двухфакторной аутентификации (2FA), где компании отправляют своим пользователям короткие коды через сообщения СМС. Если у пользователя возникнет желание, то этот код можно получить в виде голосового звонка на свой мобильный, где робот назовет вам нужный год. Чтобы получить такой вот звонок, необходимо привязать номер телефона к учетной записи.
Свиннен создал аккаунты в Instagram, Google и Microsoft Office 365, а затем их привязал их к мобильному номеру, вот только не простому, а премиальному. И когда компании звонили на этот номер, то затем получали счет за совершенный звонок. С помощью скриптов хакеры могут запрашивать звонки с очень большого количества аккаунтов и хорошо заработать. Например, на Instagram можно было получить 2.066.000 евро за год, на Google 432.000 евро и 669.000 евро на Microsoft.
Данную информацию Свиннен отправил в программы поиска багов каждой компании за что получил небольшую награду. От Facebook – 2000 долларов, от Microsoft — $500, а от Google — упоминание в зале славы компании.
