De Belgische beveiligingsonderzoeker Arne Swinnen heeft een manier ontdekt waardoor hij naar eigen zeggen duizenden euro's van Google, Microsoft en Instagram kon stelen. De softwarebedrijven bieden gebruikers de mogelijkheid dat zij door een computer worden teruggebeld op een telefoonnummer.
De computer geeft in dat geval een token door voor het verifiëren van een account. Swinnen ontdekte dat hij als telefoonnummer een betaald premiumnummer kon opgeven dat Google, Microsoft en Instagram vervolgens belden om het token door te geven. In dit geval moesten de internetbedrijven betalen voor het bellen van het premiumnummer. In het geval van Instagram demonstreerde Swinnen hoe een aanvaller via één Instagramaccount in theorie op jaarbasis ruim 20.000 euro via het premiumnummer kon stelen.
In het geval van Microsoft bleek dat Swinnen een premiumnummer miljoenen keren kon laten bellen. Dit zou de onderzoeker per betaald telefoonnummer 670.000 euro kunnen opleveren. De internetbedrijven controleren wel op misbruik van een opgegeven telefoonnummer, bijvoorbeeld om het aantal keren dat een nummer wordt gebeld te beperken, maar Swinnen wist dit steeds te omzeilen.
Na te zijn ingelicht besloten Microsoft en Facebook, eigenaar van Instagram, maatregelen te nemen en betaalden Swinnen in totaal 2500 dollar voor zijn melding. Google stelt dat het de veiligheid van gebruikers belangrijker vindt dan eventueel financieel verlies. Daarnaast stelt het internetbedrijf over systemen te beschikken om grootschalig misbruik te detecteren, zodat eventuele fraude na bepaalde tijd wordt ontdekt en gestopt. Toch werd de Belgische onderzoeker voor zijn melding in de Google Hall Of Fame opgenomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.