Cómo alguien puede hacer dinero de Google y Microsoft

Comparte en ...

Piratas informáticos inteligentes podrían explotar un vacío legal que podría permitir que se roben una cantidad significativa de dinero en efectivo de Google, Microsoft e Instagram utilizando un número de teléfono de tarificación adicional.

El investigador de seguridad Arne Swinnen de Bélgica ha descubierto una manera ingeniosa de robar el dinero de las grandes compañías de tecnología como Google, Microsoft, e Instagram utilizando sus sistemas de distribución de contadores basados en la voz de autenticación de dos factores (2FA).

Swinnen sostiene que cualquier atacante con malas intenciones podría crear falsas cuentas de Google, Microsoft o Instagram, así como los servicios de telefonía de alta calidad, y luego unirlos. El atacante podría pedir señal basados en la voz 2FA para todas las cuentas falsas utilizando un scripts automatizados, hacer llamadas telefónicas legítimas a su servicio y ganar bastante beneficio. Swinnen ha creado cuentas en Google, Microsoft Office 365 y Instagram y luego los ató a un número de teléfono de alta calidad en lugar de uno normal. Como resultado, cada vez que uno de estos tres servicios llamarían al número telefónico de la cuenta de usuario para enviar el código de acceso de su cuenta, el número registraría una llamada entrante y factura de la empresa.

«Todos ellos ofrecen servicios a suministrar a los usuarios con un token a través de una llamada telefónica expresado por ordenador, pero descuidan verificar adecuadamente si los números de teléfono suministrados eran los números legítimos no premium», Swinnen dice en su blog .

«Esto permitió que un atacante dedicado pudiera robar miles de EUR/USD/GBP/… Microsoft fue excepcionalmente vulnerables a la explotación masiva mediante el apoyo de las llamadas concurrentes prácticamente ilimitado a un número premium».

Aunque Swinnen informó la escapatoria a todas las tres compañías, calculó que podría haber robado € 432.000 por año de Google, € 669.000 por año de Microsoft y 2.066.000 € por año a de Instagram.

Usted puede aprender más detalles técnicos sobre el hack en el blog de Swinnen. Aunque no hay datos de clientes, se está poniendo en riesgo a través de su corte, Facebook (que es dueño de Instagram) y Microsoft han recompensado a Swinnen con $ 2000 y $ 500 a través de sus programas de recompensas de errores, mientras que Google mencionó su nombre en salón de la fama de la empresa.

Comparte en ...
Scroll al inicio