image

Belgische onderzoeker kon geld van Google en Microsoft stelen

zondag 17 juli 2016, 09:43 door Redactie, 3 reacties

De Belgische beveiligingsonderzoeker Arne Swinnen heeft een manier ontdekt waardoor hij naar eigen zeggen duizenden euro's van Google, Microsoft en Instagram kon stelen. De softwarebedrijven bieden gebruikers de mogelijkheid dat zij door een computer worden teruggebeld op een telefoonnummer.

De computer geeft in dat geval een token door voor het verifiëren van een account. Swinnen ontdekte dat hij als telefoonnummer een betaald premiumnummer kon opgeven dat Google, Microsoft en Instagram vervolgens belden om het token door te geven. In dit geval moesten de internetbedrijven betalen voor het bellen van het premiumnummer. In het geval van Instagram demonstreerde Swinnen hoe een aanvaller via één Instagramaccount in theorie op jaarbasis ruim 20.000 euro via het premiumnummer kon stelen.

In het geval van Microsoft bleek dat Swinnen een premiumnummer miljoenen keren kon laten bellen. Dit zou de onderzoeker per betaald telefoonnummer 670.000 euro kunnen opleveren. De internetbedrijven controleren wel op misbruik van een opgegeven telefoonnummer, bijvoorbeeld om het aantal keren dat een nummer wordt gebeld te beperken, maar Swinnen wist dit steeds te omzeilen.

Na te zijn ingelicht besloten Microsoft en Facebook, eigenaar van Instagram, maatregelen te nemen en betaalden Swinnen in totaal 2500 dollar voor zijn melding. Google stelt dat het de veiligheid van gebruikers belangrijker vindt dan eventueel financieel verlies. Daarnaast stelt het internetbedrijf over systemen te beschikken om grootschalig misbruik te detecteren, zodat eventuele fraude na bepaalde tijd wordt ontdekt en gestopt. Toch werd de Belgische onderzoeker voor zijn melding in de Google Hall Of Fame opgenomen.

Reacties (3)
17-07-2016, 11:20 door Anoniem
Karige beloning voor het rapporteren van een veiligheidsissue. Niet echt een motivatie om bij een volgend incident dit te melden.
17-07-2016, 16:56 door Anoniem
Door Anoniem: Karige beloning voor het rapporteren van een veiligheidsissue. Niet echt een motivatie om bij een volgend incident dit te melden.

Dat is maar hoe je het bekijkt...

Het betreft hier misbruik van een dienst die toch al gemonitord wordt en waarbij een toename in het aantal telefoontjes al vrij snel opvalt (en als het niet opvalt, verdien je er als aanvaller ook geen reet mee). Daarnaast is dergelijk misbruik een inherent risico bij support calls (dus was het hoogstwaarschijnlijk oorspronkelijk meegenomen als geaccepteerd risico) en kost het voor een aanvaller veel moeite om zo'n aanval op te zetten voor de hoeveelheid geld die hij er mee verdient.

2500 euro + een Google HoF entry (die lijkt mij VEEL meer waard) noem ik dan niet karig.

Hij heeft er trouwens 2500 euro en 1 cent mee verdient. ;)
De 1 eurocent die hij kreeg met zijn demo bij instagram mocht hij houden als ik het me goed herinner.

Ik vind het eigenlijk wel meevallen dat MS en Google er nog wat voor wilden geven nadat het bij Instagram al behoorlijk in de publiciteit was geweest.
18-07-2016, 07:36 door hw28
Door Anoniem: Karige beloning voor het rapporteren van een veiligheidsissue. Niet echt een motivatie om bij een volgend incident dit te melden.

Het was niet echt een veiligheidsissue voor data of voor gebruikers.
Het risico voor Microsoft, Google en Instagram was relatief beperkt. En daarnaast was het gevaar voor ontdekking en ontmaskering behoorlijk groot. Voor een cybercrimineel zijn er betere manieren om geld te verdienen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.