Belgische onderzoeker kon geld van Google en Microsoft stelen
De Belgische beveiligingsonderzoeker Arne Swinnen heeft een manier ontdekt waardoor hij naar eigen zeggen duizenden euro's van Google, Microsoft en Instagram kon stelen. De softwarebedrijven bieden gebruikers de mogelijkheid dat zij door een computer worden teruggebeld op een telefoonnummer.
De computer geeft in dat geval een token door voor het verifiëren van een account. Swinnen ontdekte dat hij als telefoonnummer een betaald premiumnummer kon opgeven dat Google, Microsoft en Instagram vervolgens belden om het token door te geven. In dit geval moesten de internetbedrijven betalen voor het bellen van het premiumnummer. In het geval van Instagram demonstreerde Swinnen hoe een aanvaller via één Instagramaccount in theorie op jaarbasis ruim 20.000 euro via het premiumnummer kon stelen.
In het geval van Microsoft bleek dat Swinnen een premiumnummer miljoenen keren kon laten bellen. Dit zou de onderzoeker per betaald telefoonnummer 670.000 euro kunnen opleveren. De internetbedrijven controleren wel op misbruik van een opgegeven telefoonnummer, bijvoorbeeld om het aantal keren dat een nummer wordt gebeld te beperken, maar Swinnen wist dit steeds te omzeilen.
Na te zijn ingelicht besloten Microsoft en Facebook, eigenaar van Instagram, maatregelen te nemen en betaalden Swinnen in totaal 2500 dollar voor zijn melding. Google stelt dat het de veiligheid van gebruikers belangrijker vindt dan eventueel financieel verlies. Daarnaast stelt het internetbedrijf over systemen te beschikken om grootschalig misbruik te detecteren, zodat eventuele fraude na bepaalde tijd wordt ontdekt en gestopt. Toch werd de Belgische onderzoeker voor zijn melding in de Google Hall Of Fame opgenomen.
Dat is maar hoe je het bekijkt...
Het betreft hier misbruik van een dienst die toch al gemonitord wordt en waarbij een toename in het aantal telefoontjes al vrij snel opvalt (en als het niet opvalt, verdien je er als aanvaller ook geen reet mee). Daarnaast is dergelijk misbruik een inherent risico bij support calls (dus was het hoogstwaarschijnlijk oorspronkelijk meegenomen als geaccepteerd risico) en kost het voor een aanvaller veel moeite om zo'n aanval op te zetten voor de hoeveelheid geld die hij er mee verdient.
2500 euro + een Google HoF entry (die lijkt mij VEEL meer waard) noem ik dan niet karig.
Hij heeft er trouwens 2500 euro en 1 cent mee verdient. ;)
De 1 eurocent die hij kreeg met zijn demo bij instagram mocht hij houden als ik het me goed herinner.
Ik vind het eigenlijk wel meevallen dat MS en Google er nog wat voor wilden geven nadat het bij Instagram al behoorlijk in de publiciteit was geweest.
Het was niet echt een veiligheidsissue voor data of voor gebruikers.
Het risico voor Microsoft, Google en Instagram was relatief beperkt. En daarnaast was het gevaar voor ontdekking en ontmaskering behoorlijk groot. Voor een cybercrimineel zijn er betere manieren om geld te verdienen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
